Kaolin RAT
与朝鲜有关的网络威胁实体 Lazarus Group 在 2023 年夏天针对亚洲地区特定个人发起的针对性攻击中,利用熟悉的工作相关陷阱分发了一种名为 Kaolin RAT 的新型远程访问木马 (RAT)。
除了典型的 RAT 功能外,该恶意软件还能够修改所选文件的最后写入时间戳,并从命令和控制 (C2) 服务器加载任何提供的 DLL 二进制文件。RAT 充当部署 FudModule rootkit 的网关,最近观察到该 rootkit 使用 appid.sys 驱动程序 (CVE-2024-21338) 中的管理员到内核漏洞来获取内核读/写能力,随后禁用安全措施。
目录
利用虚假工作机会诱骗攻击者部署 Kaolin RAT
Lazarus Group利用工作机会诱饵来渗透目标是一种常用策略。这项长期活动被称为“梦想工作行动”,利用各种社交媒体和即时通讯平台来传播恶意软件。
在该方案中,通过欺骗目标打开包含三个文件的不安全光盘映像 (ISO) 文件来获得初始访问权限。其中一个文件伪装成 Amazon VNC 客户端(“AmazonVNC.exe”),但实际上是合法 Windows 应用程序“choice.exe”的重命名版本。另外两个文件(名为“version.dll”和“aws.cfg”)充当启动感染过程的催化剂。具体来说,“AmazonVNC.exe”用于加载“version.dll”,然后生成 IExpress.exe 进程并注入存储在“aws.cfg”中的有效负载。
复杂的多阶段攻击链感染受感染的设备
该有效载荷被设计用于从 C2 域(“henraux.com”)检索 shellcode,该域疑似是一家专门从事大理石和花岗岩加工的意大利公司的被入侵的网站。
虽然该 shellcode 的具体用途尚不清楚,但据报道它用于启动 RollFling,这是一个基于 DLL 的加载程序,旨在获取和执行名为 RollSling 的后续阶段恶意软件。RollSling 之前由微软在 Lazarus Group 利用关键 JetBrains TeamCity 漏洞 (CVE-2023-42793) 的活动中发现,它直接在内存中执行以避免被安全工具检测到,代表感染过程的下一阶段。
然后,另一个加载器 RollMid 被部署到内存中,负责准备攻击并通过一系列步骤与 C2 服务器建立通信:
- 联系第一个 C2 服务器以检索包含第二个 C2 服务器地址的 HTML 文件。
- 与第二个 C2 服务器通信以检索包含使用隐写术隐藏的有害组件的 PNG 图像。
- 使用图像中的隐藏地址将数据传输到第三个 C2 服务器。
- 1. 从第三个 C2 服务器获取包含 Kaolin RAT 的额外 Base64 编码数据 blob。
Lazarus 组织在 Kaolin RAT 攻击中展现出极高的复杂性
虽然多阶段序列背后的技术复杂性无疑非常复杂,但近乎过度。研究人员认为,在与 RAT 的 C2 服务器建立通信后,Kaolin RAT 为 FudModule rootkit 的部署铺平了道路。
此外,该恶意软件还具有枚举文件、执行文件操作、将文件上传到 C2 服务器、更改文件的最后修改时间戳、枚举、创建和终止进程、使用 cmd.exe 执行命令、从 C2 服务器下载 DLL 文件以及连接到任意主机的功能。
Lazarus 组织通过虚假的工作机会锁定目标,并使用复杂的工具集来绕过安全产品,从而实现更好的持久性。显然,他们在开发如此复杂的攻击链方面投入了大量资源。可以肯定的是,Lazarus 必须不断创新,并投入大量资源来研究 Windows 缓解措施和安全产品的各个方面。他们的适应和发展能力对网络安全工作构成了重大挑战。