Kaolin RAT

उत्तर कोरिया से जुड़ी एक साइबर खतरा इकाई, लाजरस समूह ने 2023 की गर्मियों में एशिया क्षेत्र में विशिष्ट व्यक्तियों पर लक्षित हमलों के दौरान काओलिन आरएटी नामक एक नए रिमोट एक्सेस ट्रोजन (आरएटी) को वितरित करने के लिए परिचित कार्य-संबंधी जाल का उपयोग किया।

इस मैलवेयर में, सामान्य RAT कार्यक्षमताओं के अलावा, किसी चुनी हुई फ़ाइल के अंतिम लेखन टाइमस्टैम्प को संशोधित करने और कमांड-एंड-कंट्रोल (C2) सर्वर से किसी भी प्रदान की गई DLL बाइनरी को लोड करने की क्षमता थी। RAT ने FudModule रूटकिट को तैनात करने के लिए एक गेटवे के रूप में काम किया, जिसे हाल ही में कर्नेल रीड/राइट क्षमता प्राप्त करने और बाद में सुरक्षा उपायों को अक्षम करने के लिए appid.sys ड्राइवर (CVE-2024-21338) में एडमिन-टू-कर्नेल एक्सप्लॉइट का उपयोग करते हुए देखा गया था।

काओलिन आरएटी की तैनाती के लिए फर्जी नौकरी के प्रस्तावों का इस्तेमाल

लाजरस ग्रुप द्वारा घुसपैठ करने के लिए नौकरी की पेशकश का इस्तेमाल करना एक आवर्ती रणनीति है। ऑपरेशन ड्रीम जॉब के नाम से जाना जाने वाला यह लंबे समय से चल रहा अभियान मैलवेयर वितरित करने के लिए विभिन्न सोशल मीडिया और इंस्टेंट मैसेजिंग प्लेटफ़ॉर्म का उपयोग करता है।

इस योजना में, लक्ष्य को धोखा देकर एक असुरक्षित ऑप्टिकल डिस्क इमेज (ISO) फ़ाइल खोलकर प्रारंभिक पहुँच प्राप्त की जाती है जिसमें तीन फ़ाइलें होती हैं। इनमें से एक फ़ाइल Amazon VNC क्लाइंट ('AmazonVNC.exe') के रूप में प्रस्तुत होती है, लेकिन वास्तव में यह 'choice.exe' नामक एक वैध Windows एप्लिकेशन का नाम बदला हुआ संस्करण है। 'version.dll' और 'aws.cfg' नामक अन्य दो फ़ाइलें संक्रमण प्रक्रिया आरंभ करने के लिए उत्प्रेरक के रूप में कार्य करती हैं। विशेष रूप से, 'AmazonVNC.exe' का उपयोग 'version.dll' को लोड करने के लिए किया जाता है, जो तब एक IExpress.exe प्रक्रिया को जन्म देता है और 'aws.cfg' के भीतर संग्रहीत पेलोड को इंजेक्ट करता है।

एक जटिल बहु-स्तरीय हमला श्रृंखला समझौता किए गए उपकरणों को संक्रमित करती है

पेलोड को C2 डोमेन ('henraux.com') से शेलकोड प्राप्त करने के लिए तैयार किया गया है, जिसके बारे में संदेह है कि यह संगमरमर और ग्रेनाइट प्रसंस्करण में विशेषज्ञता रखने वाली एक इतालवी कंपनी की हैक की गई वेबसाइट है।

हालांकि शेलकोड का सटीक उद्देश्य अस्पष्ट बना हुआ है, लेकिन कथित तौर पर इसका उपयोग रोलफ्लिंग को आरंभ करने के लिए किया जाता है, जो एक DLL-आधारित लोडर है जिसे रोलस्लिंग नामक अगले चरण के मैलवेयर को प्राप्त करने और निष्पादित करने के लिए डिज़ाइन किया गया है। रोलस्लिंग, जिसे पहले Microsoft द्वारा एक महत्वपूर्ण जेटब्रेन्स टीमसिटी भेद्यता (CVE-2023-42793) का फायदा उठाने वाले लाजरस ग्रुप अभियान में पहचाना गया था, सुरक्षा उपकरणों द्वारा पता लगाने से बचने के लिए सीधे मेमोरी में निष्पादित किया जाता है, जो संक्रमण प्रक्रिया के अगले चरण का प्रतिनिधित्व करता है।

इसके बाद रोलमिड, एक अन्य लोडर, को मेमोरी में तैनात किया जाता है, जिसका कार्य हमले की तैयारी करना और चरणों की एक श्रृंखला के माध्यम से C2 सर्वर के साथ संचार स्थापित करना होता है:

• दूसरे C2 सर्वर का पता युक्त HTML फ़ाइल प्राप्त करने के लिए पहले C2 सर्वर से संपर्क करें।

• स्टेग्नोग्राफ़ी का उपयोग करके छुपाए गए हानिकारक घटक युक्त PNG छवि को पुनः प्राप्त करने के लिए दूसरे C2 सर्वर के साथ संचार करें।

• छवि के भीतर छिपे पते का उपयोग करके तीसरे C2 सर्वर तक डेटा संचारित करें।

• तीसरे C2 सर्वर से एक अतिरिक्त बेस64-एन्कोडेड डेटा ब्लॉब प्राप्त करें, जिसमें काओलिन RAT शामिल है।

लाजरस समूह ने काओलिन चूहे के हमले में महत्वपूर्ण परिष्कार प्रदर्शित किया

मल्टी-स्टेज अनुक्रम के पीछे तकनीकी परिष्कार, हालांकि इसमें कोई संदेह नहीं है कि यह जटिल और पेचीदा है, लेकिन यह अतिशयोक्ति की सीमा पर है। शोधकर्ताओं का मानना है कि काओलिन RAT, RAT के C2 सर्वर के साथ संचार स्थापित करने के बाद FudModule रूटकिट की तैनाती का मार्ग प्रशस्त करता है।

इसके अतिरिक्त, मैलवेयर फाइलों की गणना करने, फाइल संचालन करने, C2 सर्वर पर फाइल अपलोड करने, फाइल के अंतिम संशोधित टाइमस्टैम्प को बदलने, प्रक्रियाओं की गणना करने, बनाने और समाप्त करने, cmd.exe का उपयोग करके कमांड निष्पादित करने, C2 सर्वर से DLL फाइलें डाउनलोड करने और किसी भी होस्ट से कनेक्ट करने में सक्षम है।

लाजरस समूह ने फर्जी नौकरी के प्रस्तावों के माध्यम से व्यक्तियों को लक्षित किया और सुरक्षा उत्पादों को दरकिनार करते हुए बेहतर दृढ़ता प्राप्त करने के लिए एक परिष्कृत टूलसेट का इस्तेमाल किया। यह स्पष्ट है कि उन्होंने इस तरह की जटिल हमले श्रृंखला को विकसित करने में महत्वपूर्ण संसाधनों का निवेश किया। यह निश्चित है कि लाजरस को लगातार नवाचार करना पड़ा और विंडोज शमन और सुरक्षा उत्पादों के विभिन्न पहलुओं पर शोध करने के लिए भारी संसाधन आवंटित करने पड़े। अनुकूलन और विकास करने की उनकी क्षमता साइबर सुरक्षा प्रयासों के लिए एक महत्वपूर्ण चुनौती है।