KimJongRAT‑variant via PowerShell en PE‑loader
Palo Alto Networks Unit 42 rapporteert twee nieuwe KimJongRAT‑stealer‑varianten:
- PE‑variant – een traditionele Portable Executable‑payload.
- PowerShell‑variant – volledig uitgevoerd via PowerShell‑scripts na uitpakken uit ZIP‑bestand.
Beide varianten starten via kwaadaardige LNK‑snelkoppelingen die een dropper halen van een door de aanvaller beheerd CDN-platform (bijv. glitch.global).
Technische Analyse
1. Infectieketen van de PE‑variant
- Stap 1: LNK opent
cmd.exe→ downloadtpdf.htaviacurl.exein%TEMP%, vervolgens uitgevoerd metmshta.exe. - Stap 2: HTA bevat versleutelde payloads (
sys.dll,sexoffender.pdf,user.txt). - Stap 3:
sys.dllloader downloadt twee modules:main64.log(stealer) ennet64.log(orchestrator). - Stap 4: Orchestrator exfiltreert gegevens naar C2‑server en wacht op verdere instructies .
2. PowerShell‑variant
- LNK → HTA → drop van decoy‑PDF + ZIP‑bestand (bijv.
pipe.zip). - ZIP bevat PowerShell‑stealer en keylogger in Base64‑vorm.
- Variant richt zich op browsergegevens en crypto‑wallet‑extensies; keylogger exfiltreert systeem‑ en gebruikersdata naar C2.
Focus op Cryptocurrency
De PowerShell‑variant richt zich specifiek op browser-wallets, waaronder heel veel extensies. Dit wijst op een sterke focus op cryptomunten-doorstroming naar aanvallers.
Tactieken, Technieken en Procedures (TTP’s)
- Distributie via Windows LNK‑bestanden als misleidend documentlokmiddel.
- Gebruik van legitiem CDN‑platform om verdacht verkeer te maskeren.
- Payload‑laag met loader/orchestrator (PE) respectievelijk PowerShell‑stealer + keylogger (ZIP).
- Encryptie‑lagen zoals Base64, RC4/XOR en mogelijk geëncodeerde netwerkcommunicatie.
Mitigatie & Detectie
Palo Alto‑producten detecteren en blokkeren deze dreigingen:
| Product | Bescherming tegen |
|---|---|
| Advanced WildFire | ML‑ en gedragsanalyse van samples |
| Advanced URL Filtering & DNS Security | Blokkering kwaadaardige hits |
| Advanced Threat Prevention | Real‑time exploit‑detectie |
| Cortex XDR & XSIAM | Onbekende malware via gedragsanalyse |
Aanbevelingen
- Niet klikken op verdachte LNK‑bestanden, zelfs als ze lijken op legitieme documenten.
- Bedreigingsinformatie (IoC’s) importeren in URL‑/DNS‑firewalls.
- Gedragsanalyse activeren op eindpunten om ongewone PowerShell‑activiteit op te vangen.
- Bewustzijnstraining binnen de organisatie: vertrouw nooit op onverwachte documenten, zelfs uit “vertrouwde” groepen.
Bronnen
- Unit 42: “Exploring a New KimJongRAT Stealer Variant and Its PowerShell Implementation” (17 juni 2025) https://unit42.paloaltonetworks.com/kimjongrat-stealer-variant-powershell/
- SC Media: Samenvatting geavanceerde varianten met LNK‑files en cdn‑gebruik https://www.scworld.com/brief/more-sophisticated-kimjongrat-stealer-variants-emerge