Kaolin RAT
Lazarus Group, উত্তর কোরিয়ার সাথে যুক্ত একটি সাইবার হুমকি সত্তা, 2023 সালের গ্রীষ্মে এশিয়া অঞ্চলে নির্দিষ্ট ব্যক্তিদের উপর লক্ষ্যবস্তু আক্রমণের সময় Kaolin RAT নামে একটি নতুন রিমোট অ্যাক্সেস ট্রোজান (RAT) বিতরণ করার জন্য পরিচিত চাকরি-সম্পর্কিত ফাঁদ ব্যবহার করেছিল।
এই ম্যালওয়্যার, সাধারণ RAT কার্যকারিতা ছাড়াও, একটি নির্বাচিত ফাইলের শেষ লেখার টাইমস্ট্যাম্প পরিবর্তন করার এবং কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে যে কোনো প্রদত্ত DLL বাইনারি লোড করার ক্ষমতা ছিল৷ RAT FudModule রুটকিট স্থাপনের একটি গেটওয়ে হিসাবে কাজ করেছে, যা সম্প্রতি একটি কার্নেল রিড/রাইট করার ক্ষমতা অর্জন করতে এবং পরবর্তীতে নিরাপত্তা ব্যবস্থা অক্ষম করতে appid.sys ড্রাইভার (CVE-2024-21338) এ অ্যাডমিন-টু-কারনেল এক্সপ্লোইট ব্যবহার করে দেখা গেছে। .
সুচিপত্র
Kaolin RAT মোতায়েন করার জন্য লোভ হিসেবে ব্যবহৃত জাল চাকরির অফার
লক্ষ্যে অনুপ্রবেশের জন্য লাজারাস গ্রুপের কাজের অফার টোপ ব্যবহার করা একটি পুনরাবৃত্ত কৌশল। অপারেশন ড্রিম জব নামে পরিচিত, এই দীর্ঘদিনের প্রচারণা ম্যালওয়্যার বিতরণ করার জন্য বিভিন্ন সামাজিক মিডিয়া এবং তাত্ক্ষণিক বার্তাপ্রেরণ প্ল্যাটফর্ম নিয়োগ করে।
এই স্কিমে, তিনটি ফাইল সম্বলিত একটি অনিরাপদ অপটিক্যাল ডিস্ক ইমেজ (ISO) ফাইল খোলার লক্ষ্যে প্রতারণার মাধ্যমে প্রাথমিক অ্যাক্সেস পাওয়া যায়। এই ফাইলগুলির মধ্যে একটি অ্যামাজন ভিএনসি ক্লায়েন্ট ('AmazonVNC.exe') হিসাবে ভঙ্গি করে তবে এটি আসলে 'choice.exe' নামক একটি বৈধ উইন্ডোজ অ্যাপ্লিকেশনের নাম পরিবর্তন করা সংস্করণ। 'version.dll' এবং 'aws.cfg' নামে অন্য দুটি ফাইল সংক্রমণ প্রক্রিয়া শুরু করতে অনুঘটক হিসেবে কাজ করে। বিশেষভাবে, 'version.dll' লোড করতে 'AmazonVNC.exe' ব্যবহার করা হয়, যা তারপর একটি IExpress.exe প্রক্রিয়া তৈরি করে এবং 'aws.cfg'-এর মধ্যে সংরক্ষিত একটি পেলোড ইনজেক্ট করে।
একটি জটিল মাল্টি-স্টেজ অ্যাটাক চেইন আপস করা ডিভাইসগুলিকে সংক্রমিত করে
পেলোডটি একটি C2 ডোমেইন ('henraux.com') থেকে শেলকোড পুনরুদ্ধার করার জন্য ইঞ্জিনিয়ার করা হয়েছে, এটি মার্বেল এবং গ্রানাইট প্রক্রিয়াকরণে বিশেষজ্ঞ একটি ইতালীয় কোম্পানির একটি আপস করা ওয়েবসাইট বলে সন্দেহ করা হচ্ছে।
যদিও শেলকোডের সঠিক উদ্দেশ্য অস্পষ্ট রয়ে গেছে, এটি RollFling শুরু করতে ব্যবহৃত হয়, একটি DLL-ভিত্তিক লোডার যা RollSling নামক পরবর্তী পর্যায়ের ম্যালওয়্যার প্রাপ্ত এবং কার্যকর করার জন্য ডিজাইন করা হয়েছে। RollSling, পূর্বে মাইক্রোসফ্ট দ্বারা চিহ্নিত একটি Lazarus গ্রুপ প্রচারাভিযানে একটি সমালোচনামূলক JetBrains TeamCity দুর্বলতা (CVE-2023-42793) ব্যবহার করে, সুরক্ষা সরঞ্জাম দ্বারা সনাক্তকরণ এড়াতে মেমরিতে সরাসরি কার্যকর করা হয়, যা সংক্রমণ প্রক্রিয়ার পরবর্তী পর্যায়ের প্রতিনিধিত্ব করে।
রোলমিড, আরেকটি লোডার, তারপরে মেমরিতে স্থাপন করা হয়, আক্রমণের জন্য প্রস্তুতি নেওয়া এবং ধাপগুলির একটি সিরিজের মাধ্যমে একটি C2 সার্ভারের সাথে যোগাযোগ স্থাপনের দায়িত্ব দেওয়া হয়:
- দ্বিতীয় C2 সার্ভারের ঠিকানা সম্বলিত একটি HTML ফাইল পুনরুদ্ধার করতে প্রথম C2 সার্ভারের সাথে যোগাযোগ করুন।
Lazarus গ্রুপ Kaolin RAT আক্রমণে উল্লেখযোগ্য পরিশীলিততা প্রদর্শন করে
মাল্টি-স্টেজ সিকোয়েন্সের পিছনে প্রযুক্তিগত পরিশীলিততা, নিঃসন্দেহে জটিল এবং জটিল, ওভারকিলের সীমানা। গবেষকরা বিশ্বাস করেন যে Kaolin RAT RAT-এর C2 সার্ভারের সাথে যোগাযোগ স্থাপন করার পরে FudModule রুটকিট স্থাপনের পথ প্রশস্ত করে।
এছাড়াও, ম্যালওয়্যারটি ফাইলগুলি গণনা করতে, ফাইল অপারেশন চালাতে, C2 সার্ভারে ফাইল আপলোড করতে, একটি ফাইলের শেষ পরিবর্তিত টাইমস্ট্যাম্প পরিবর্তন করতে, গণনা করা, তৈরি এবং প্রক্রিয়াগুলি শেষ করতে, cmd.exe ব্যবহার করে কমান্ড কার্যকর করতে, ডিএলএল ফাইল ডাউনলোড করতে সজ্জিত। C2 সার্ভার, এবং একটি নির্বিচারে হোস্টের সাথে সংযোগ করুন।
লাজারাস গোষ্ঠী বানোয়াট কাজের অফারগুলির মাধ্যমে ব্যক্তিদের লক্ষ্য করে এবং সুরক্ষা পণ্যগুলিকে বাইপাস করার সময় আরও ভাল অধ্যবসায় অর্জনের জন্য একটি অত্যাধুনিক টুলসেট নিয়োগ করে। এটা স্পষ্ট যে তারা এই ধরনের একটি জটিল আক্রমণ শৃঙ্খল তৈরিতে উল্লেখযোগ্য সম্পদ বিনিয়োগ করেছে। যা নিশ্চিত তা হল যে লাজারাসকে ক্রমাগত উদ্ভাবন করতে হয়েছিল এবং উইন্ডোজ প্রশমন এবং সুরক্ষা পণ্যগুলির বিভিন্ন দিক নিয়ে গবেষণা করার জন্য প্রচুর সংস্থান বরাদ্দ করতে হয়েছিল। তাদের মানিয়ে নেওয়ার এবং বিকশিত হওয়ার ক্ষমতা সাইবার নিরাপত্তা প্রচেষ্টার জন্য একটি গুরুত্বপূর্ণ চ্যালেঞ্জ তৈরি করে।