Kaolin RAT
Ang Lazarus Group, isang cyber threat entity na naka-link sa North Korea, ay gumamit ng mga pamilyar na traps na may kaugnayan sa trabaho upang ipamahagi ang isang bagong Remote Access Trojan (RAT) na pinangalanang Kaolin RAT sa mga naka-target na pag-atake sa mga partikular na indibidwal sa rehiyon ng Asia sa tag-araw ng 2023.
Ang malware na ito, bilang karagdagan sa mga tipikal na functionality ng RAT, ay may kakayahang baguhin ang huling write timestamp ng napiling file at i-load ang anumang ibinigay na DLL binary mula sa isang Command-and-Control (C2) server. Ang RAT ay nagsilbing gateway para i-deploy ang FudModule rootkit, na na-obserbahan kamakailan gamit ang isang admin-to-kernel exploit sa appid.sys driver (CVE-2024-21338) para magkaroon ng kernel read/write na kakayahan at pagkatapos ay i-disable ang mga hakbang sa seguridad .
Talaan ng mga Nilalaman
Mga Pekeng Alok ng Trabaho na Ginamit bilang Mga Pang-akit para sa Pag-deploy ng Kaolin RAT
Ang paggamit ng Lazarus Group ng mga pain sa alok ng trabaho para sa mga nakakalusot na target ay isang paulit-ulit na diskarte. Kilala bilang Operation Dream Job, ang matagal nang kampanyang ito ay gumagamit ng iba't ibang social media at instant messaging platform upang ipamahagi ang malware.
Sa pamamaraang ito, ang paunang pag-access ay nakukuha sa pamamagitan ng panlilinlang sa mga target sa pagbubukas ng hindi ligtas na Optical Disc Image (ISO) file na naglalaman ng tatlong file. Ang isa sa mga file na ito ay nagpapanggap bilang isang Amazon VNC client ('AmazonVNC.exe') ngunit talagang isang pinalitan ng pangalan na bersyon ng isang lehitimong Windows application na tinatawag na 'choice.exe.' Ang iba pang dalawang file, na pinangalanang 'version.dll' at 'aws.cfg,' ay nagsisilbing mga catalyst upang simulan ang proseso ng impeksyon. Sa partikular, ang 'AmazonVNC.exe' ay ginagamit upang i-load ang 'version.dll,' na pagkatapos ay nagdudulot ng proseso ng IExpress.exe at nag-iniksyon ng payload na nakaimbak sa loob ng 'aws.cfg.'
Isang Kumplikadong Multi-Stage Attack Chain ang Nakakahawa sa Mga Nakompromisong Device
Ang kargamento ay inihanda upang kunin ang shellcode mula sa isang C2 domain ('henraux.com'), na pinaghihinalaang isang nakompromisong website ng isang kumpanyang Italyano na dalubhasa sa pagproseso ng marmol at granite.
Bagama't ang eksaktong layunin ng shellcode ay nananatiling hindi malinaw, ito ay naiulat na ginagamit upang simulan ang RollFling, isang DLL-based loader na idinisenyo upang makuha at isagawa ang kasunod na yugto ng malware na tinatawag na RollSling. Ang RollSling, na dating tinukoy ng Microsoft sa isang kampanya ng Lazarus Group na nagsasamantala sa isang kritikal na kahinaan ng JetBrains TeamCity (CVE-2023-42793), ay direktang isinasagawa sa memorya upang maiwasan ang pagtuklas ng mga tool sa seguridad, na kumakatawan sa susunod na yugto ng proseso ng impeksyon.
Ang RollMid, isa pang loader, ay na-deploy sa memorya, na nakatalaga sa paghahanda para sa pag-atake at pagtatatag ng komunikasyon sa isang C2 server sa pamamagitan ng isang serye ng mga hakbang:
- Makipag-ugnayan sa unang C2 server upang kunin ang isang HTML file na naglalaman ng address ng pangalawang C2 server.
Ang Lazarus Group ay Nagpapakita ng Makabuluhang Sophistication sa Kaolin RAT Attack
Ang teknikal na pagiging sopistikado sa likod ng multi-stage na pagkakasunud-sunod, bagama't walang alinlangan na kumplikado at masalimuot, ay may hangganan sa labis na paggawa. Naniniwala ang mga mananaliksik na ang Kaolin RAT ay nagbibigay daan para sa pag-deploy ng FudModule rootkit pagkatapos mag-set up ng mga komunikasyon sa C2 server ng RAT.
Bilang karagdagan, ang malware ay nilagyan upang magbilang ng mga file, magsagawa ng mga pagpapatakbo ng file, mag-upload ng mga file sa C2 server, baguhin ang huling binagong timestamp ng file, magbilang, gumawa, at wakasan ang mga proseso, magsagawa ng mga utos gamit ang cmd.exe, mag-download ng mga DLL file mula sa C2 server, at kumonekta sa isang arbitrary na host.
Ang grupong Lazarus ay nag-target ng mga indibidwal sa pamamagitan ng mga gawa-gawang alok ng trabaho at gumamit ng isang sopistikadong toolset upang makamit ang mas mahusay na pagtitiyaga habang nilalampasan ang mga produktong panseguridad. Maliwanag na namuhunan sila ng makabuluhang mapagkukunan sa pagbuo ng gayong kumplikadong chain ng pag-atake. Ano ang tiyak ay kailangan ni Lazarus na patuloy na mag-innovate at maglaan ng napakalaking mapagkukunan upang magsaliksik ng iba't ibang aspeto ng Windows mitigations at mga produkto ng seguridad. Ang kanilang kakayahang umangkop at mag-evolve ay nagdudulot ng malaking hamon sa mga pagsisikap sa cybersecurity.