Kaolin RAT
Lazarus Group, en cyberhotsenhet kopplad till Nordkorea, använde välbekanta jobbrelaterade fällor för att distribuera en ny Remote Access Trojan (RAT) vid namn Kaolin RAT under riktade attacker mot specifika individer i Asien-regionen sommaren 2023.
Denna skadliga programvara, förutom typiska RAT-funktioner, hade förmågan att modifiera den sista skrivtidsstämpeln för en vald fil och ladda alla tillhandahållna DLL-binärfiler från en Command-and-Control-server (C2). RAT fungerade som en gateway för att distribuera FudModule rootkit, som nyligen observerades med användning av en admin-till-kärna-exploatering i appid.sys-drivrutinen (CVE-2024-21338) för att få en kärnans läs-/skrivförmåga och därefter inaktivera säkerhetsåtgärder .
Innehållsförteckning
Falska jobberbjudanden som används som lockelser för att distribuera Kaolin RAT
Lazarus Groups användning av beten för jobberbjudanden för infiltrerande mål är en återkommande strategi. Denna mångåriga kampanj, känd som Operation Dream Job, använder olika sociala medier och plattformar för snabbmeddelanden för att distribuera skadlig programvara.
I detta schema erhålls initial åtkomst genom att lura mål att öppna en osäker Optical Disc Image-fil (ISO) som innehåller tre filer. En av dessa filer poserar som en Amazon VNC-klient ('AmazonVNC.exe') men är faktiskt en omdöpt version av ett legitimt Windows-program som heter 'choice.exe'. De andra två filerna, som heter 'version.dll' och 'aws.cfg', fungerar som katalysatorer för att initiera infektionsprocessen. Specifikt används 'AmazonVNC.exe' för att ladda 'version.dll', som sedan skapar en IExpress.exe-process och injicerar en nyttolast lagrad i 'aws.cfg.'
En komplex attackkedja i flera steg infekterar de komprometterade enheterna
Nyttolasten är konstruerad för att hämta skalkod från en C2-domän ('henraux.com'), som misstänks vara en komprometterad webbplats för ett italienskt företag som specialiserat sig på bearbetning av marmor och granit.
Även om det exakta syftet med skalkoden förblir oklart, används den enligt uppgift för att initiera RollFling, en DLL-baserad laddare designad för att erhålla och exekvera den efterföljande skadliga programvaran RollSling. RollSling, som tidigare identifierats av Microsoft i en Lazarus Group-kampanj som utnyttjar en kritisk JetBrains TeamCity-sårbarhet (CVE-2023-42793), körs direkt i minnet för att undvika upptäckt av säkerhetsverktyg, vilket representerar nästa fas av infektionsprocessen.
RollMid, en annan laddare, distribueras sedan i minnet, med uppgift att förbereda för attacken och upprätta kommunikation med en C2-server genom en rad steg:
- Kontakta den första C2-servern för att hämta en HTML-fil som innehåller adressen till den andra C2-servern.
- Kommunicera med den andra C2-servern för att hämta en PNG-bild som innehåller en skadlig komponent dold med hjälp av steganografi.
- Överför data till den tredje C2-servern med den dolda adressen från bilden.
- Hämta ytterligare en Base64-kodad datablobb från den tredje C2-servern, som innehåller Kaolin RAT.
Lazarus-gruppen uppvisar betydande sofistikering i Kaolin RAT-attacken
Den tekniska sofistikeringen bakom flerstegssekvensen, även om den utan tvekan är komplex och intrikat, gränsar till overkill. Forskare tror att Kaolin RAT banar väg för distributionen av FudModule rootkit efter att ha ställt in kommunikation med RAT:s C2-server.
Dessutom är den skadliga programvaran utrustad för att räkna upp filer, utföra filoperationer, ladda upp filer till C2-servern, ändra en fils senast ändrade tidsstämpel, räkna upp, skapa och avsluta processer, utföra kommandon med cmd.exe, ladda ner DLL-filer från C2-server och anslut till en godtycklig värd.
Lazarus-gruppen riktade in sig på individer genom tillverkade jobberbjudanden och använde en sofistikerad verktygsuppsättning för att uppnå bättre uthållighet samtidigt som de gick förbi säkerhetsprodukter. Det är uppenbart att de investerade betydande resurser i att utveckla en så komplex attackkedja. Vad som är säkert är att Lazarus var tvungen att förnya sig kontinuerligt och allokera enorma resurser för att undersöka olika aspekter av Windows-begränsningar och säkerhetsprodukter. Deras förmåga att anpassa sig och utvecklas utgör en betydande utmaning för cybersäkerhetsinsatser.