KkRAT マルウェア
情報セキュリティ研究者らは、中国語圏のユーザーを標的とした活発なマルウェア攻撃キャンペーンを発見しました。このキャンペーンは、これまで記録されていないリモートアクセス型トロイの木馬「kkRAT」を使用しています。このキャンペーンは2025年5月初旬から実行されていたとみられ、既知のRAT技術にモジュール型ローダーと欺瞞技術を組み合わせ、検出を回避して永続的な活動を実現しています。
目次
脅威の起源とコードラインのリンク
分析の結果、kkRATは既存のRATファミリーから多くの影響を受けていることが判明しました。ネットワークプロトコルと一部のコード構造は、Gh0st RAT(Ghost RAT)やBig Bad Wolf(大灰狼)に類似しています。Big Bad Wolfは、中国を拠点とするサイバー犯罪グループが過去に使用してきたRATです。kkRATの作成者は、圧縮に加えて追加の暗号化を施し、追加の暗号化ステップを備えたGhostのような通信チャネルを作成しました。
配信方法 - GitHubページにホストされた偽インストーラー
攻撃者はGitHub Pages上に、人気のアプリケーション(例えばDingTalk)を装ったフィッシングページをホストし、偽のインストーラーを介して3種類のトロイの木馬を配布していました。GitHubの評判を悪用することで、攻撃者は被害者がインストーラーを信頼して実行する可能性を高めていました。専門家によると、これらのページをホストするために使用されていたGitHubアカウントは現在利用できません。
インストーラの動作
実行されると、偽インストーラーはサンドボックス環境と仮想マシンを検出するために複数のチェックを実行し、セキュリティ制御を回避しようとします。管理者権限の入力を求め、権限が付与されると、アクティブなネットワークアダプターを列挙し、一時的に無効化します。これは、ウイルス対策ソフトウェアによるネットワークチェックを妨害し、変更処理を進める間、通常のウイルス対策ソフトウェアの動作を妨害する機能です。
アンチAV技術
このマルウェアは、RealBlindingEDRオープンソースプロジェクトのコードを再利用し、脆弱なドライバの持ち込み(BYOVD)技術を用いてエンドポイント保護を無効化します。具体的には、以下の個人向けおよび企業向け保護スイートを検索し、標的とします。
360インターネットセキュリティスイート
360トータルセキュリティ
HeroBravo システム診断スイート
キングソフトインターネットセキュリティ
QQ電管家
インストーラーは、関連するウイルス対策プロセスを終了させた後、SYSTEM権限で実行されるスケジュールタスクを作成します。このタスクは、ユーザーのログインごとにバッチスクリプトを実行します。これにより、対象のウイルス対策プロセスがログインごとに自動的に終了されます。また、マルウェアはWindowsレジストリエントリを改変し、ネットワークチェックを無効にするのと一致する方法で変更し、変更が完了するとネットワークアダプターを再び有効化します。
ペイロードチェーン
インストーラの主な役割はシェルコードの実行です。シェルコードは、ハードコードされたURLから「2025.bin」という難読化された二次シェルコードファイルを取得して実行します。このシェルコードはダウンローダーとして機能し、「output.log」というアーティファクトを取得します。このアーティファクトは2つのURLにアクセスして、2つのZIPアーカイブをダウンロードします。
- trx38.zip — 正当な実行可能ファイルと、DLL サイドローディングによって起動される悪意のある DLL が含まれています。
- p.zip — 暗号化された最終ペイロードを保持する longlq.cl というファイルが含まれています。
このマルウェアは、trx38.zipから正規の実行ファイルへのショートカットを作成し、そのショートカットをユーザーのスタートアップフォルダに常駐させてから、正規の実行ファイルを実行することで悪意のあるDLLをサイドロードします。DLLはlonglq.clに含まれる最終ペイロードを復号して実行します。キャンペーンの最終ペイロードはキャンペーンインスタンスによって異なりますが、確認されているペイロードの1つはkkRATです。
kkRAT の機能(コマンド、プラグイン、動作)
kkRATはソケット経由でC2サーバーに接続し、感染ホストのプロファイルを作成し、広範なリモート制御とデータ収集を可能にするプラグインとコマンドをダウンロードします。確認されている機能は以下のとおりです。
- スクリーンキャプチャとユーザー入力(キーボードとマウス)のシミュレーション
- クリップボードの内容の読み取りと変更(暗号通貨アドレスの置換に使用)
- リモートデスクトップ機能を有効にし、ブラウザを含むアプリケーションをリモートで起動/終了する
- 対話型シェル経由のリモートコマンド実行
- 画面上のWindows管理とプロセス一覧/終了
- アクティブなネットワーク接続の列挙
- インストールされているアプリケーションの一覧表示と選択したソフトウェアのアンインストール
- 自動実行レジストリ値の読み取りと自動実行エントリの列挙
- SOCKS5プロキシとして機能し、トラフィックをルーティングし、ファイアウォールやVPNをバイパスする可能性がある
kkRAT には、コピーされた暗号通貨ウォレット アドレスを置き換えるクリッパー機能や、さまざまなブラウザーやメッセージング アプリからデータを消去するルーチンも含まれています (確認された例: 360 Speed Browser、Google Chrome、Internet Explorer、Mozilla Firefox、QQ Browser、Sogou Explorer、Telegram)。
要約 - なぜ攻撃キャンペーンが重要なのか
このキャンペーンの特徴は、正規のGitHub Pagesを装ったソーシャルエンジニアリングによる拡散、高度な分析対策およびアンチウイルス対策(サンドボックス/VM検出、RealBlindingEDRコードを使用したBYOVD)、DLLサイドローディングと暗号化ペイロードコンテナを用いた多段ローダー、そして情報窃取(クリップボードハイジャック、スクリーンキャプチャ、データ窃取)と運用ツール(リモート管理ツール、プロキシ)の両方をサポートするフル機能のRAT(kkRAT)を組み合わせた点です。モジュール型アーキテクチャにより、最終的なペイロードの入れ替えが可能になり、オペレーターの柔軟性が高まり、検出と攻撃者の特定が複雑になります。
