HiddenGh0st, Winos и kkRAT ги злоупотребуваат SEO и GitHub Pages во кинески малициозни напади

Корисниците кои зборуваат кинески јазик се цел на кампања за труење со оптимизација за пребарувачи (SEO), која користи лажни веб-страници за софтвер за дистрибуција на малициозен софтвер.

„Напаѓачите ги манипулираа резултатите од пребарувањето со SEO приклучоци и регистрираа домени кои изгледаат слично на легитимни страници за софтвер,“ изјави истражувачот од Fortinet FortiGuard Labs, Пеи Хан Лиао. „Со користење на убедлив јазик и мали замени на знаци, тие ги измамиле жртвите да ги посетат лажните страници и да преземаат малициозен софтвер.“

Активноста, која беше откриена од компанијата за сајбер безбедност во август 2025 година, води до инсталирање на малициозни фамилии како HiddenGh0st и Winos (познат и како ValleyRAT), кои се варијанти на тројанец за далечински пристап познат како Gh0st RAT.

Важно е да се напомене дека користењето на Winos е припишано на сајбер криминална група позната како Silver Fox, која исто така се следи под имињата SwimSnake, The Great Thief of Valley (или Valley Thief), UTG-Q-1000 и Void Arachne. Се верува дека е активна најмалку од 2022 година.

Во најновиот напад документиран од Fortinet, корисници кои пребаруваат алатки како DeepL Translate, Google Chrome, Signal, Telegram, WhatsApp и WPS Office на Google се пренасочуваат кон лажни страници за да се активира испорака на малициозен софтвер преку тројанизирани инсталери.

„Скрипта со име nice.js го контролира процесот на испорака на малициозен софтвер на овие страници,“ објаснува Fortinet. „Скриптата следи повеќестепен синџир: прво повикува линк за преземање што враќа JSON податоци, кои содржат секундарен линк. Тој секундарен линк потоа води до друг JSON одговор кој содржи линк што пренасочува до конечниот URL на малициозниот инсталер.“

Во инсталерот е вметната малициозна DLL-датотека („EnumW.dll“) која спроведува неколку проверки за избегнување анализа со цел да ја заобиколи детекцијата, вклучително и извлекување на друга DLL-датотека („vstdlib.dll“) со цел да ги преоптовари алатките за анализа преку зголемена потрошувачка на меморија и забавување на нивната работа.

Втората DLL-датотека е исто така дизајнирана да го отпакува и стартува главниот малициозен товар, но тоа го прави дури откако ќе утврди дали на компромитираниот систем е присутен антивирусниот софтвер 360 Total Security. Доколку е присутен, малициозниот софтвер користи техника наречена TypeLib COM hijacking за да воспостави постојаност и на крај да стартува Windows извршна датотека („insalivation.exe“).

Доколку антивирусниот софтвер не е инсталиран на компјутерот, постојаноста се постигнува со креирање на Windows кратенка (shortcut) која упатува на истата извршна датотека. Крајната цел на инфекцијата е да се вчита DLL-датотека („AIDE.dll“) која активира три основни функции:

• Command-and-Control (C2): воспоставување комуникација со далечински сервер и размена на податоци во енкриптиран формат
• Heartbeat: собирање на информации за системот и жртвата, како и споредување на активните процеси со однапред дефинирана листа на безбедносни производи
• Monitor: следење на околината на жртвата за да се потврди постојаноста, следење на корисничка активност и праќање на сигнали до C2 серверот

C2 модулот исто така поддржува команди за преземање дополнителни приклучоци, логирање на тастатурата и clipboard-от, па дури и кражба на криптовалути поврзани со Ethereum и Tether. Некои од детектираните приклучоци се способни да го надгледуваат екранот на жртвата и претходно биле идентификувани како дел од Winos платформата.

„Инсталерите ги содржеа и легитимната апликација и малициозниот товар, што го отежнуваше забележувањето на инфекцијата од страна на корисниците,“ соопшти Fortinet. „Дури и високо рангирани резултати од пребарување беа злоупотребени на овој начин, што ја потенцира важноста на внимателна проверка на имињата на домените пред преземање на софтвер.“

Корисници кои зборуваат кинески се цел на тројна малициозна кампања, вклучително и новиот kkRAT

Овој развој се случува додека Zscaler ThreatLabz бележи одделна кампања, исто така насочена кон корисници кои зборуваат кинески, со досега недокументиран малициозен софтвер наречен kkRAT, активен од мај 2025 година, заедно со Winos и FatalRAT.

„kkRAT има сличности во кодот со Gh0st RAT и Big Bad Wolf (大灰狼), тројанец што типично го користат сајбер криминалци од Кина,“ изјави истражувачот на Zscaler, Мухамед Ирфан В. А.

„kkRAT користи мрежен комуникациски протокол сличен на Ghost RAT, со дополнителен слој на енкрипција по компресија на податоците. Карактеристиките на тројанецот вклучуваат манипулација со clipboard-от за замена на криптовалутни адреси и користење на алатки за далечински надзор (на пр. Sunlogin, GotoHTTP).“

Како и претходно опишаната активност, и оваа нападна кампања користи лажни инсталер-страници што имитираат популарен софтвер како DingTalk за да ги испорачаат трите тројанци. Фишинг-страниците се хостирани на GitHub Pages, што им овозможува на напаѓачите да ја злоупотребат довербата кон легитимната платформа за дистрибуција на малициозен софтвер. GitHub сметката која била користена за овие страници повеќе не е активна.

Штом жртвата ќе го стартува инсталерот од овие страници, тој извршува серија проверки за да утврди дали е во средина за анализа (sandbox) или виртуелна машина (VM), како и заобиколување на безбедносен софтвер. Дополнително, бара администраторски привилегии – доколку му бидат доделени, тројанецот ги набројува и привремено ги оневозможува сите активни мрежни адаптери, со што ја нарушува работата на антивирусните програми.

BYOVD техника и исклучување на антивирусен софтвер

Друга значајна карактеристика на малициозниот софтвер е употребата на техниката „Bring Your Own Vulnerable Driver“ (BYOVD), со која го оневозможува антивирусниот софтвер инсталиран на системот преку повторна употреба на код од отворениот проект RealBlindingEDR. Малициозниот софтвер конкретно ги таргетира следниве пет програми:

• 360 Internet Security Suite
• 360 Total Security
• HeroBravo System Diagnostics Suite
• Kingsoft Internet Security
• QQ компјутерски менаџер (QQ电脑管家)

Откако релевантните процеси поврзани со антивирусниот софтвер ќе бидат прекинати, малициозниот софтвер презема чекори за креирање на закажана задача (scheduled task) што се извршува со SYSTEM привилегии за да активира batch скрипта, со цел автоматски да ги прекинува овие процеси секојпат кога корисник ќе се најави на компјутерот.

Дополнително, се модифицираат записи во Windows Registry поврзани со 360 Total Security, најверојатно со цел да се оневозможат мрежните проверки. По завршување на сите овие активности, малициозниот софтвер повторно ги активира мрежните адаптери за да ја врати поврзаноста со интернетот.

Примарната задача на инсталерот е да стартува shellcode, кој, пак, стартува друга замаскирана shellcode-датотека наречена „2025.bin“ од однапред зададен URL. Овој ново-преземен shellcode служи како преземач за артефактот „output.log“, кој потоа се поврзува со две различни URL-адреси за да преземе две ZIP-архиви:

• trx38.zip, која содржи легитимна извршна датотека и малициозна DLL-датотека што се активира преку техника на DLL side-loading
• p.zip, која содржи датотека со име longlq.cl, во која се наоѓа енкриптираниот финален малициозен товар

„Малициозниот софтвер потоа ќе креира кратенка (shortcut) за легитимната извршна датотека извлечена од trx38.zip, ќе ја додаде оваа кратенка во Startup папката за да обезбеди постојаност и ќе ја изврши легитимната датотека со цел да ја вчита малициозната DLL-датотека,“ соопшти Zscaler. „Малициозната DLL-датотека ја дешифрира и извршува финалната малициозна компонента од датотеката longlq.cl. Финалниот товар на кампањата варира во зависност од втората ZIP-архива што се презема.“

Еден од трите малициозни товари е kkRAT. Откако ќе воспостави сокет конекција со C2 серверот, малициозниот софтвер го профилира компјутерот на жртвата и презема различни приклучоци (plugins) за извршување на широк спектар на задачи за прибирање податоци:

• Снимање на екранот и симулирање на кориснички активности како движење на тастатура и глушец
• Преземање и менување на clipboard податоци
• Овозможување на далечински пристап (remote desktop), вклучувајќи отворање на веб-прелистувачи и прекинување на активни процеси
• Извршување на далечински команди преку shell интерфејс
• Управување со Windows екрански сесии
• Управување со процеси – прикажување на активни процеси и нивно прекинување по потреба
• Генерирање листа на активни мрежни конекции
• Управување со апликации – прикажување на инсталиран софтвер и деинсталација на избрани програми
• Пребарување и преземање вредности од autorun Registry клучеви
• Дејствување како прокси-сервер за пренасочување на податоци меѓу клиент и сервер преку SOCKS5 протокол

Покрај овие приклучоци, kkRAT поддржува голем број команди за:

• Активирање на приклучоци
• Дејствување како clipper со заменување на крипто-адреси во clipboard-от
• Воспоставување постојаност на системот
• Инсталирање на алатки за далечински надзор како GotoHTTP и Sunlogin
• Бришење на податоци поврзани со следниве прелистувачи и апликации: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer, Skype, Telegram

„Командите и приклучоците на kkRAT овозможуваат функции како кражба на clipboard податоци преку заменување на криптовалутни адреси, инсталирање на RMM алатки како Sunlogin и GotoHTTP, како и пренасочување на мрежен сообраќај што може да се искористи за заобиколување на firewalls и VPN-ови,“ соопшти Zscaler.

Извори:

• The Hacker News– „HiddenGh0st, Winos and kkRAT Exploit SEO, GitHub Pages in Chinese Malware Attacks“.The Hacker News