Kaolin RAT

與北韓有關的網路威脅實體Lazarus Group 在2023 年夏季對亞洲地區的特定個人進行針對性攻擊時，利用熟悉的與工作相關的陷阱分發了一種名為Kaolin RAT 的新遠端存取木馬(RAT) 。

除了典型的 RAT 功能之外，該惡意軟體還能夠修改所選檔案的最後寫入時間戳，並從命令和控制 (C2) 伺服器載入任何提供的 DLL 二進位檔案。 RAT 充當部署 FudModule rootkit 的網關，最近觀察到該漏洞利用 appid.sys 驅動程式 (CVE-2024-21338) 中的管理到核心漏洞來獲得核心讀取/寫入功能，並隨後停用安全措施。

利用假工作機會作為部署高嶺土 RAT 的誘餌

拉撒路集團利用工作機會誘餌來滲透目標是一種反覆出現的策略。這項長期活動被稱為“夢想工作行動”，利用各種社交媒體和即時通訊平台來傳播惡意軟體。

在此方案中，透過欺騙目標開啟包含三個檔案的不安全光碟映像（ISO）檔案來獲得初始存取權限。其中一個檔案偽裝成 Amazon VNC 用戶端 (“AmazonVNC.exe”)，但實際上是名為「choice.exe」的合法 Windows 應用程式的重命名版本。另外兩個檔案名為“version.dll”和“aws.cfg”，作為啟動感染過程的催化劑。具體來說，“AmazonVNC.exe”用於載入“version.dll”，然後產生 IExpress.exe 進程並注入儲存在“aws.cfg”中的有效負載。

複雜的多階段攻擊鏈感染受感染的設備

該有效負載被設計為從 C2 域（“henraux.com”）檢索 shellcode，該域懷疑是一家專門從事大理石和花崗岩加工的意大利公司的受感染網站。

儘管 shellcode 的確切目的尚不清楚，但據報導它用於啟動 RollFling，這是一個基於 DLL 的加載程序，旨在獲取並執行名為 RollSling 的後續階段惡意軟體。 RollSling 先前被 Microsoft 在利用 JetBrains TeamCity 關鍵漏洞 (CVE-2023-42793) 的 Lazarus Group 活動中發現，直接在記憶體中執行以避免被安全工具偵測，這代表了感染過程的下一階段。

然後，另一個載入程式 RollMid 被部署在記憶體中，其任務是準備攻擊並透過一系列步驟與 C2 伺服器建立通訊：

• 聯絡第一 C2 伺服器以檢索包含第二 C2 伺服器位址的 HTML 檔案。

• 與第二個 C2 伺服器通訊以檢索包含使用隱寫術隱藏的有害成分的 PNG 影像。

• 使用影像內的隱藏位址將資料傳輸到第三個 C2 伺服器。

• 從第三個 C2 伺服器取得額外的 Base64 編碼資料 blob，其中包含 Kaolin RAT。

Lazarus 組織在高嶺土 RAT 攻擊中展現出高度的複雜性

多階段序列背後的技術複雜性無疑是複雜的，但近乎矯枉過正。研究人員認為，Kaolin RAT 在與 RAT 的 C2 伺服器建立通訊後，為 FudModule rootkit 的部署鋪平了道路。

此外，該惡意軟體還能夠枚舉檔案、執行檔案操作、將檔案上傳到C2 伺服器、更改檔案的上次修改時間戳記、枚舉、建立和終止進程、使用cmd.exe 執行命令、從C2 伺服器下載DLL 檔案。

Lazarus 組織透過偽造的工作機會來瞄準個人，並使用複雜的工具集來繞過安全產品，從而實現更好的持久性。顯然，他們投入了大量資源來開發如此複雜的攻擊鏈。可以肯定的是，Lazarus 必須不斷創新，並分配大量資源來研究 Windows 緩解措施和安全產品的各個方面。它們的適應和發展能力對網路安全工作提出了重大挑戰。