Kaolin RAT

گروه Lazarus، یک نهاد تهدید سایبری مرتبط با کره شمالی، از تله های آشنای مرتبط با شغل برای توزیع یک تروجان دسترسی از راه دور جدید (RAT) به نام Kaolin RAT در طی حملات هدفمند به افراد خاص در منطقه آسیا در تابستان 2023 استفاده کرد.

این بدافزار، علاوه بر عملکردهای RAT معمولی، این توانایی را داشت که آخرین مهر زمان نوشتن یک فایل انتخابی را تغییر دهد و هر باینری DLL ارائه شده را از یک سرور Command-and-Control (C2) بارگیری کند. RAT به عنوان دروازه ای برای استقرار روت کیت FudModule عمل می کرد که اخیراً با استفاده از یک سوء استفاده از admin-to-kernel در درایور appid.sys (CVE-2024-21338) برای به دست آوردن قابلیت خواندن/نوشتن هسته و متعاقباً غیرفعال کردن اقدامات امنیتی مشاهده شد. .

پیشنهادهای شغلی جعلی به عنوان فریب برای استقرار موش کائولن استفاده می شود

استفاده گروه لازاروس از طعمه های پیشنهاد شغلی برای نفوذ به اهداف، یک استراتژی تکرارشونده است. این کمپین قدیمی که به عنوان Operation Dream Job شناخته می شود، از رسانه های اجتماعی مختلف و پلت فرم های پیام رسانی فوری برای توزیع بدافزار استفاده می کند.

در این طرح، دسترسی اولیه با فریب دادن اهداف برای باز کردن فایل ناامن تصویر دیسک نوری (ISO) حاوی سه فایل به دست می‌آید. یکی از این فایل ها به عنوان یک مشتری VNC آمازون ("AmazonVNC.exe") ظاهر می شود، اما در واقع یک نسخه تغییر نام یافته از یک برنامه قانونی ویندوز به نام "choice.exe" است. دو فایل دیگر به نام‌های 'version.dll' و 'aws.cfg' به عنوان کاتالیزور برای شروع فرآیند عفونت عمل می‌کنند. به طور خاص، "AmazonVNC.exe" برای بارگیری "version.dll" استفاده می شود، که سپس یک فرآیند IExpress.exe ایجاد می کند و یک بار ذخیره شده در "aws.cfg" را تزریق می کند.

یک زنجیره حمله چند مرحله ای پیچیده، دستگاه های در معرض خطر را آلوده می کند

محموله برای بازیابی کد پوسته از یک دامنه C2 ('henraux.com') مهندسی شده است که گمان می رود یک وب سایت در معرض خطر یک شرکت ایتالیایی متخصص در پردازش سنگ مرمر و گرانیت باشد.

اگرچه هدف دقیق کد پوسته نامشخص است، اما گزارش شده است که از آن برای راه اندازی RollFling استفاده می شود، یک لودر مبتنی بر DLL که برای بدست آوردن و اجرای بدافزار مرحله بعدی به نام RollSling طراحی شده است. RollSling که قبلاً توسط مایکروسافت در کمپین گروه Lazarus شناسایی شده بود که از یک آسیب‌پذیری حیاتی JetBrains TeamCity (CVE-2023-42793) استفاده می‌کرد، مستقیماً در حافظه اجرا می‌شود تا از شناسایی توسط ابزارهای امنیتی جلوگیری کند که نشان‌دهنده مرحله بعدی فرآیند آلودگی است.

RollMid، لودر دیگر، سپس در حافظه مستقر می شود و وظیفه آماده سازی برای حمله و برقراری ارتباط با سرور C2 را از طریق یک سری مراحل دارد:

• برای بازیابی یک فایل HTML حاوی آدرس سرور دوم C2 با اولین سرور C2 تماس بگیرید.

• با دومین سرور C2 ارتباط برقرار کنید تا یک تصویر PNG حاوی یک جزء مضر که با استفاده از استگانوگرافی پنهان شده است، بازیابی کنید.

• با استفاده از آدرس پنهان از داخل تصویر، داده ها را به سومین سرور C2 منتقل کنید.

• یک حباب داده کدگذاری شده با Base64 اضافی را از سومین سرور C2، که حاوی RAT کائولین است، واکشی کنید.

گروه لازاروس پیچیدگی قابل توجهی را در حمله موش صحرایی کائولن نشان می دهد

پیچیدگی فنی پشت این سکانس چند مرحله‌ای، اگرچه بدون شک پیچیده و پیچیده است، اما در مرز بیش از حد است. محققان بر این باورند که Kaolin RAT راه را برای استقرار rootkit FudModule پس از برقراری ارتباط با سرور C2 RAT هموار می کند.

علاوه بر این، بدافزار برای شمارش فایل‌ها، انجام عملیات فایل، آپلود فایل‌ها به سرور C2، تغییر آخرین مهر زمانی تغییر یافته فایل، شمارش، ایجاد و خاتمه فرآیندها، اجرای دستورات با استفاده از cmd.exe، دانلود فایل‌های DLL از سرور C2، و به یک میزبان دلخواه متصل شوید.

گروه لازاروس افراد را از طریق پیشنهادهای شغلی ساختگی هدف قرار داده و از مجموعه ابزارهای پیچیده ای برای دستیابی به پایداری بهتر و دور زدن محصولات امنیتی استفاده می کند. بدیهی است که آنها منابع قابل توجهی را برای توسعه چنین زنجیره حمله پیچیده ای سرمایه گذاری کردند. آنچه مسلم است این است که لازاروس مجبور بود به طور مداوم نوآوری کند و منابع عظیمی را برای تحقیق در مورد جنبه های مختلف کاهش دهنده ویندوز و محصولات امنیتی اختصاص دهد. توانایی آنها برای انطباق و تکامل یک چالش مهم برای تلاش های امنیت سایبری است.