Kaolin RAT

ਲਾਜ਼ਰਸ ਗਰੁੱਪ, ਉੱਤਰੀ ਕੋਰੀਆ ਨਾਲ ਜੁੜੀ ਇੱਕ ਸਾਈਬਰ ਖਤਰੇ ਵਾਲੀ ਸੰਸਥਾ, ਨੇ 2023 ਦੀਆਂ ਗਰਮੀਆਂ ਵਿੱਚ ਏਸ਼ੀਆ ਖੇਤਰ ਵਿੱਚ ਖਾਸ ਵਿਅਕਤੀਆਂ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਹਮਲਿਆਂ ਦੌਰਾਨ ਕਾਓਲਿਨ ਆਰਏਟੀ ਨਾਮ ਦੇ ਇੱਕ ਨਵੇਂ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਨੂੰ ਵੰਡਣ ਲਈ ਜਾਣੇ-ਪਛਾਣੇ ਨੌਕਰੀ-ਸਬੰਧਤ ਜਾਲਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।

ਇਹ ਮਾਲਵੇਅਰ, ਆਮ RAT ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਤੋਂ ਇਲਾਵਾ, ਇੱਕ ਚੁਣੀ ਗਈ ਫਾਈਲ ਦੀ ਆਖਰੀ ਲਿਖਤ ਟਾਈਮਸਟੈਂਪ ਨੂੰ ਸੋਧਣ ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਕਿਸੇ ਵੀ ਪ੍ਰਦਾਨ ਕੀਤੀ DLL ਬਾਈਨਰੀ ਨੂੰ ਲੋਡ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਸੀ। RAT ਨੇ FudModule ਰੂਟਕਿਟ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਇੱਕ ਗੇਟਵੇ ਵਜੋਂ ਕੰਮ ਕੀਤਾ, ਜੋ ਕਿ ਹਾਲ ਹੀ ਵਿੱਚ ਇੱਕ ਕਰਨਲ ਰੀਡ/ਰਾਈਟ ਸਮਰੱਥਾ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਬਾਅਦ ਵਿੱਚ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ appid.sys ਡਰਾਈਵਰ (CVE-2024-21338) ਵਿੱਚ ਇੱਕ ਐਡਮਿਨ-ਟੂ-ਕਰਨਲ ਸ਼ੋਸ਼ਣ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦੇਖਿਆ ਗਿਆ ਸੀ। .

Kaolin RAT ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਦੇ ਲਾਲਚ ਵਜੋਂ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਜਾਅਲੀ ਨੌਕਰੀ ਦੀਆਂ ਪੇਸ਼ਕਸ਼ਾਂ

ਘੁਸਪੈਠ ਦੇ ਟੀਚਿਆਂ ਲਈ ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਦੀ ਨੌਕਰੀ ਦੀ ਪੇਸ਼ਕਸ਼ ਦੇ ਦਾਣਾ ਦੀ ਵਰਤੋਂ ਇੱਕ ਆਵਰਤੀ ਰਣਨੀਤੀ ਹੈ। ਓਪਰੇਸ਼ਨ ਡਰੀਮ ਜੌਬ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਇਹ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਚੱਲ ਰਹੀ ਮੁਹਿੰਮ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਲਈ ਵੱਖ-ਵੱਖ ਸੋਸ਼ਲ ਮੀਡੀਆ ਅਤੇ ਤਤਕਾਲ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦੀ ਹੈ।

ਇਸ ਸਕੀਮ ਵਿੱਚ, ਤਿੰਨ ਫਾਈਲਾਂ ਵਾਲੀ ਇੱਕ ਅਸੁਰੱਖਿਅਤ ਆਪਟੀਕਲ ਡਿਸਕ ਇਮੇਜ (ISO) ਫਾਈਲ ਨੂੰ ਖੋਲ੍ਹਣ ਦੇ ਟੀਚਿਆਂ ਨੂੰ ਧੋਖਾ ਦੇ ਕੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਫਾਈਲ ਇੱਕ ਐਮਾਜ਼ਾਨ VNC ਕਲਾਇੰਟ ('AmazonVNC.exe') ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਦੀ ਹੈ ਪਰ ਅਸਲ ਵਿੱਚ 'choice.exe' ਨਾਮਕ ਇੱਕ ਜਾਇਜ਼ ਵਿੰਡੋਜ਼ ਐਪਲੀਕੇਸ਼ਨ ਦਾ ਇੱਕ ਬਦਲਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਹੈ। ਦੂਜੀਆਂ ਦੋ ਫਾਈਲਾਂ, 'version.dll' ਅਤੇ 'aws.cfg' ਨਾਮਕ, ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਉਤਪ੍ਰੇਰਕ ਵਜੋਂ ਕੰਮ ਕਰਦੀਆਂ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, 'AmazonVNC.exe' ਦੀ ਵਰਤੋਂ 'version.dll' ਨੂੰ ਲੋਡ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਜੋ ਫਿਰ ਇੱਕ IExpress.exe ਪ੍ਰਕਿਰਿਆ ਪੈਦਾ ਕਰਦੀ ਹੈ ਅਤੇ 'aws.cfg' ਦੇ ਅੰਦਰ ਸਟੋਰ ਕੀਤੇ ਇੱਕ ਪੇਲੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕਰਦੀ ਹੈ।

ਇੱਕ ਗੁੰਝਲਦਾਰ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ ਚੇਨ ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਕਰਣਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦੀ ਹੈ

ਪੇਲੋਡ ਨੂੰ ਇੱਕ C2 ਡੋਮੇਨ ('henraux.com') ਤੋਂ ਸ਼ੈੱਲਕੋਡ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੰਜਨੀਅਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਸੰਗਮਰਮਰ ਅਤੇ ਗ੍ਰੇਨਾਈਟ ਪ੍ਰੋਸੈਸਿੰਗ ਵਿੱਚ ਮਾਹਰ ਇੱਕ ਇਤਾਲਵੀ ਕੰਪਨੀ ਦੀ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੀ ਵੈਬਸਾਈਟ ਹੋਣ ਦਾ ਸ਼ੱਕ ਹੈ।

ਹਾਲਾਂਕਿ ਸ਼ੈੱਲਕੋਡ ਦਾ ਸਹੀ ਉਦੇਸ਼ ਅਸਪਸ਼ਟ ਹੈ, ਇਹ ਕਥਿਤ ਤੌਰ 'ਤੇ ਰੋਲਫਲਿੰਗ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ DLL-ਅਧਾਰਿਤ ਲੋਡਰ ਜੋ ਰੋਲਸਲਿੰਗ ਨਾਮਕ ਅਗਲੇ ਪੜਾਅ ਦੇ ਮਾਲਵੇਅਰ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਰੋਲਸਲਿੰਗ, ਜੋ ਕਿ ਪਹਿਲਾਂ ਮਾਈਕ੍ਰੋਸਾਫਟ ਦੁਆਰਾ ਇੱਕ ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਮੁਹਿੰਮ ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ JetBrains TeamCity ਕਮਜ਼ੋਰੀ (CVE-2023-42793) ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਵਿੱਚ ਪਛਾਣ ਕੀਤੀ ਗਈ ਸੀ, ਨੂੰ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ, ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਦੇ ਅਗਲੇ ਪੜਾਅ ਦੀ ਨੁਮਾਇੰਦਗੀ ਕਰਨ ਲਈ ਸਿੱਧੇ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ।

ਰੋਲਮੀਡ, ਇੱਕ ਹੋਰ ਲੋਡਰ, ਫਿਰ ਮੈਮੋਰੀ ਵਿੱਚ ਤੈਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸਨੂੰ ਹਮਲੇ ਦੀ ਤਿਆਰੀ ਕਰਨ ਅਤੇ ਕਦਮਾਂ ਦੀ ਇੱਕ ਲੜੀ ਦੁਆਰਾ ਇੱਕ C2 ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਦਾ ਕੰਮ ਸੌਂਪਿਆ ਜਾਂਦਾ ਹੈ:

• ਦੂਜੇ C2 ਸਰਵਰ ਦਾ ਪਤਾ ਰੱਖਣ ਵਾਲੀ HTML ਫਾਈਲ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਪਹਿਲੇ C2 ਸਰਵਰ ਨਾਲ ਸੰਪਰਕ ਕਰੋ।

• ਸਟੈਗਨੋਗ੍ਰਾਫੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਛੁਪੇ ਹੋਏ ਨੁਕਸਾਨਦੇਹ ਕੰਪੋਨੈਂਟ ਵਾਲੇ PNG ਚਿੱਤਰ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਦੂਜੇ C2 ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰੋ।

• ਚਿੱਤਰ ਦੇ ਅੰਦਰੋਂ ਲੁਕੇ ਹੋਏ ਪਤੇ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਤੀਜੇ C2 ਸਰਵਰ ਨੂੰ ਡੇਟਾ ਪ੍ਰਸਾਰਿਤ ਕਰੋ।

• ਤੀਜੇ C2 ਸਰਵਰ ਤੋਂ ਇੱਕ ਵਾਧੂ Base64-ਏਨਕੋਡਡ ਡੇਟਾ ਬਲੌਬ ਪ੍ਰਾਪਤ ਕਰੋ, ਜਿਸ ਵਿੱਚ Kaolin RAT ਹੈ।

ਲਾਜ਼ਰਸ ਗਰੁੱਪ ਕਾਓਲਿਨ ਆਰਏਟੀ ਹਮਲੇ ਵਿੱਚ ਮਹੱਤਵਪੂਰਣ ਸੂਝ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦਾ ਹੈ

ਬਹੁ-ਪੜਾਅ ਕ੍ਰਮ ਦੇ ਪਿੱਛੇ ਤਕਨੀਕੀ ਸੂਝ-ਬੂਝ, ਜਦੋਂ ਕਿ ਬਿਨਾਂ ਸ਼ੱਕ ਗੁੰਝਲਦਾਰ ਅਤੇ ਗੁੰਝਲਦਾਰ, ਓਵਰਕਿਲ 'ਤੇ ਬਾਰਡਰ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ Kaolin RAT RAT ਦੇ C2 ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ FudModule ਰੂਟਕਿਟ ਦੀ ਤੈਨਾਤੀ ਲਈ ਰਾਹ ਪੱਧਰਾ ਕਰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਫਾਈਲਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨ, ਫਾਈਲ ਓਪਰੇਸ਼ਨ ਕਰਨ, C2 ਸਰਵਰ 'ਤੇ ਫਾਈਲਾਂ ਅਪਲੋਡ ਕਰਨ, ਫਾਈਲ ਦੇ ਆਖਰੀ ਸੋਧੇ ਹੋਏ ਟਾਈਮਸਟੈਂਪ ਨੂੰ ਬਦਲਣ, ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨ, ਬਣਾਉਣ ਅਤੇ ਖਤਮ ਕਰਨ, cmd.exe ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਡੀਐਲਐਲ ਫਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਲੈਸ ਹੈ। C2 ਸਰਵਰ, ਅਤੇ ਇੱਕ ਮਨਮਾਨੇ ਹੋਸਟ ਨਾਲ ਜੁੜੋ।

ਲਾਜ਼ਰਸ ਸਮੂਹ ਨੇ ਲੋਕਾਂ ਨੂੰ ਨਕਲੀ ਨੌਕਰੀ ਦੀਆਂ ਪੇਸ਼ਕਸ਼ਾਂ ਰਾਹੀਂ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਅਤੇ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦੇ ਹੋਏ ਬਿਹਤਰ ਨਿਰੰਤਰਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਵਧੀਆ ਟੂਲਸੈੱਟ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ। ਇਹ ਸਪੱਸ਼ਟ ਹੈ ਕਿ ਉਹਨਾਂ ਨੇ ਅਜਿਹੀ ਗੁੰਝਲਦਾਰ ਹਮਲੇ ਦੀ ਲੜੀ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਸਰੋਤਾਂ ਦਾ ਨਿਵੇਸ਼ ਕੀਤਾ ਹੈ। ਜੋ ਗੱਲ ਨਿਸ਼ਚਿਤ ਹੈ ਉਹ ਇਹ ਹੈ ਕਿ ਲਾਜ਼ਰ ਨੂੰ ਲਗਾਤਾਰ ਨਵੀਨਤਾ ਕਰਨੀ ਪੈਂਦੀ ਸੀ ਅਤੇ ਵਿੰਡੋਜ਼ ਨੂੰ ਘਟਾਉਣ ਅਤੇ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਦੇ ਵੱਖ-ਵੱਖ ਪਹਿਲੂਆਂ ਦੀ ਖੋਜ ਕਰਨ ਲਈ ਬਹੁਤ ਸਾਰੇ ਸਰੋਤ ਨਿਰਧਾਰਤ ਕਰਨੇ ਪੈਂਦੇ ਸਨ। ਅਨੁਕੂਲਨ ਅਤੇ ਵਿਕਾਸ ਕਰਨ ਦੀ ਉਹਨਾਂ ਦੀ ਯੋਗਤਾ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਯਤਨਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਚੁਣੌਤੀ ਹੈ।