Kaolin RAT

De Lazarus Group, een cyberdreigingsentiteit die verbonden is met Noord-Korea, maakte gebruik van bekende werkgerelateerde valstrikken om een nieuwe Remote Access Trojan (RAT), genaamd Kaolin RAT, te verspreiden tijdens gerichte aanvallen op specifieke individuen in de Aziatische regio in de zomer van 2023.

Deze malware had, naast de typische RAT-functionaliteiten, de mogelijkheid om de laatste schrijftijdstempel van een gekozen bestand te wijzigen en elk beschikbaar DLL-binair bestand vanaf een Command-and-Control (C2)-server te laden. De RAT diende als toegangspoort voor de implementatie van de FudModule-rootkit, die onlangs werd waargenomen met behulp van een beheerder-naar-kernel-exploit in de appid.sys-driver (CVE-2024-21338) om lees-/schrijfmogelijkheden voor de kernel te verkrijgen en vervolgens beveiligingsmaatregelen uit te schakelen .

Fake jobaanbiedingen gebruikt als lokmiddel voor de inzet van de Kaolin RAT

Het gebruik door de Lazarus Groep van lokaas voor het infiltreren van doelwitten is een terugkerende strategie. Deze al lang bestaande campagne, bekend als Operation Dream Job, maakt gebruik van verschillende sociale media en instant messaging-platforms om malware te verspreiden.

In dit schema wordt initiële toegang verkregen door doelen te misleiden om een onveilig ISO-bestand (Optical Disc Image) te openen dat drie bestanden bevat. Eén van deze bestanden doet zich voor als een Amazon VNC-client ('AmazonVNC.exe'), maar is in werkelijkheid een hernoemde versie van een legitieme Windows-applicatie genaamd 'choice.exe'. De andere twee bestanden, genaamd 'version.dll' en 'aws.cfg', dienen als katalysatoren om het infectieproces te initiëren. Concreet wordt 'AmazonVNC.exe' gebruikt om 'version.dll' te laden, wat vervolgens een IExpress.exe-proces voortbrengt en een payload injecteert die is opgeslagen in 'aws.cfg'.

Een complexe, uit meerdere fasen bestaande aanvalsketen infecteert de gecompromitteerde apparaten

De payload is ontworpen om shellcode op te halen van een C2-domein ('henraux.com'), vermoedelijk een gecompromitteerde website van een Italiaans bedrijf dat gespecialiseerd is in de verwerking van marmer en graniet.

Hoewel het exacte doel van de shellcode onduidelijk blijft, wordt deze naar verluidt gebruikt om RollFling te initiëren, een op DLL gebaseerde lader die is ontworpen om de daaropvolgende fase-malware genaamd RollSling te verkrijgen en uit te voeren. RollSling, eerder geïdentificeerd door Microsoft in een Lazarus Group-campagne die misbruik maakt van een kritieke JetBrains TeamCity-kwetsbaarheid (CVE-2023-42793), wordt rechtstreeks in het geheugen uitgevoerd om detectie door beveiligingstools te voorkomen, wat de volgende fase van het infectieproces vertegenwoordigt.

RollMid, een andere lader, wordt vervolgens in het geheugen ingezet en heeft tot taak de aanval voor te bereiden en via een reeks stappen communicatie met een C2-server tot stand te brengen:

• Neem contact op met de eerste C2-server om een HTML-bestand op te halen met het adres van de tweede C2-server.

• Communiceer met de tweede C2-server om een PNG-afbeelding op te halen die een schadelijke component bevat die verborgen is met behulp van steganografie.

• Verzend gegevens naar de derde C2-server met behulp van het verborgen adres vanuit de afbeelding.

• Haal een extra met Base64 gecodeerde gegevensblob op van de derde C2-server, die de Kaolin RAT bevat.

De Lazarus-groep vertoont aanzienlijke verfijning in de Kaolin RAT-aanval

De technische verfijning achter de uit meerdere fasen bestaande reeks, hoewel ongetwijfeld complex en ingewikkeld, grenst aan overkill. Onderzoekers zijn van mening dat de Kaolin RAT de weg vrijmaakt voor de inzet van de FudModule rootkit na het opzetten van communicatie met de C2-server van de RAT.

Bovendien is de malware uitgerust om bestanden op te sommen, bestandsbewerkingen uit te voeren, bestanden te uploaden naar de C2-server, de laatst gewijzigde tijdstempel van een bestand te wijzigen, processen op te sommen, te maken en te beëindigen, opdrachten uit te voeren met behulp van cmd.exe, DLL-bestanden te downloaden van de C2-server en maak verbinding met een willekeurige host.

De Lazarus-groep richtte zich op individuen via verzonnen vacatures en gebruikte een geavanceerde toolset om meer doorzettingsvermogen te bereiken en tegelijkertijd beveiligingsproducten te omzeilen. Het is duidelijk dat ze aanzienlijke middelen hebben geïnvesteerd in de ontwikkeling van een dergelijke complexe aanvalsketen. Wat zeker is, is dat Lazarus voortdurend moest innoveren en enorme middelen moest inzetten om verschillende aspecten van Windows-beperkingen en beveiligingsproducten te onderzoeken. Hun vermogen om zich aan te passen en te evolueren vormt een aanzienlijke uitdaging voor de inspanningen op het gebied van cyberbeveiliging.