Kaolin RAT
„Lazarus Group“, su Šiaurės Korėja susijęs kibernetinės grėsmės subjektas, naudojo pažįstamus su darbu susijusius spąstus, kad platintų naują nuotolinės prieigos Trojos arklį (RAT), pavadintą Kaolino RAT, per tikslines atakas prieš konkrečius asmenis Azijos regione 2023 m. vasarą.
Ši kenkėjiška programa, be įprastų RAT funkcijų, turėjo galimybę modifikuoti paskutinį pasirinkto failo rašymo laiko žymą ir įkelti bet kokį pateiktą DLL dvejetainį failą iš komandų ir valdymo (C2) serverio. RAT tarnavo kaip šliuzai diegti FudModule rootkit, kuris neseniai buvo pastebėtas naudojant admin-to-kernel exploit appid.sys tvarkyklėje (CVE-2024-21338), siekiant įgyti branduolio skaitymo / rašymo galimybę ir vėliau išjungti saugos priemones. .
Turinys
Netikri darbo pasiūlymai, naudojami kaip kaolino žiurkės diegimo masalai
„ Lazarus Group “ darbo pasiūlymų jaukų panaudojimas, siekiant įsiskverbti į taikinius, yra pasikartojanti strategija. Ši ilgalaikė kampanija, žinoma kaip operacija „Svajonių darbas“, naudoja įvairias socialinių tinklų ir momentinių pranešimų platformas kenkėjiškoms programoms platinti.
Pagal šią schemą pradinė prieiga įgyjama apgaunant taikinius, kad jie atidarytų nesaugų optinio disko vaizdo (ISO) failą, kuriame yra trys failai. Vienas iš šių failų yra „Amazon VNC“ klientas („AmazonVNC.exe“), bet iš tikrųjų yra pervadinta teisėtos „Windows“ programos, vadinamos „choice.exe“, versija. Kiti du failai, pavadinti „version.dll“ ir „aws.cfg“, naudojami kaip užkrėtimo proceso katalizatoriai. Tiksliau, „AmazonVNC.exe“ naudojama „version.dll“ įkėlimui, kuri tada sukuria IExpress.exe procesą ir įveda naudingą apkrovą, saugomą „aws.cfg“.
Sudėtinga daugiapakopė atakos grandinė užkrečia pažeistus įrenginius
Naudingasis krovinys sukurtas taip, kad gautų apvalkalo kodą iš C2 domeno ("henraux.com"), kuris, kaip įtariama, yra pažeista Italijos įmonės, kurios specializacija yra marmuro ir granito apdirbimas, svetainė.
Nors tikslus apvalkalo kodo tikslas lieka neaiškus, pranešama, kad jis naudojamas inicijuoti RollFling – DLL pagrindu sukurtą įkroviklį, skirtą gauti ir vykdyti tolesnio etapo kenkėjišką programą, vadinamą RollSling. „RollSling“, kurią „Microsoft“ anksčiau nustatė „Lazarus Group“ kampanijoje, kurioje išnaudojamas kritinis „JetBrains TeamCity“ pažeidžiamumas (CVE-2023-42793), vykdomas tiesiogiai atmintyje, kad būtų išvengta aptikimo saugos įrankiais, o tai reiškia kitą užkrėtimo proceso etapą.
Tada atmintyje įdiegiamas kitas įkroviklis RollMid, kuriam pavesta pasiruošti atakai ir užmegzti ryšį su C2 serveriu atliekant kelis veiksmus:
- Susisiekite su pirmuoju C2 serveriu, kad gautumėte HTML failą su antrojo C2 serverio adresu.
- Susisiekite su antruoju C2 serveriu, kad gautumėte PNG vaizdą su kenksmingu komponentu, paslėptu naudojant steganografiją.
- Perduokite duomenis į trečiąjį C2 serverį naudodami paslėptą adresą iš vaizdo.
- Iš trečiojo C2 serverio, kuriame yra „Kaolin RAT“, gaukite papildomą „Base64“ koduotą duomenų bloką.
„Lazarus“ grupė demonstruoja labai sudėtingą kaolino žiurkės ataką
Techninis sudėtingumas, susijęs su kelių etapų seka, nors ir, be jokios abejonės, sudėtingas ir sudėtingas, ribojasi su perdėm. Tyrėjai mano, kad „Kaolin RAT“ atveria kelią „FudModule“ šaknų rinkinio diegimui po to, kai užmezgamas ryšys su RAT C2 serveriu.
Be to, kenkėjiška programa gali surašyti failus, atlikti failų operacijas, įkelti failus į C2 serverį, pakeisti paskutinio modifikuoto failo laiko žymą, surašyti, kurti ir nutraukti procesus, vykdyti komandas naudojant cmd.exe, atsisiųsti DLL failus iš C2 serverį ir prisijunkite prie savavališko pagrindinio kompiuterio.
„Lazarus“ grupė orientavosi į asmenis, teikdama sugalvotus darbo pasiūlymus ir naudojo sudėtingą įrankių rinkinį, kad pasiektų didesnį atkaklumą apeinant saugos produktus. Akivaizdu, kad jie investavo daug išteklių kurdami tokią sudėtingą atakų grandinę. Neabejotina, kad Lazarus turėjo nuolat kurti naujoves ir skirti didžiulius išteklius įvairiems „Windows“ švelninimo ir saugos produktų aspektams tirti. Jų gebėjimas prisitaikyti ir tobulėti yra didelis iššūkis kibernetinio saugumo pastangoms.