Kaolin RAT
استخدمت مجموعة Lazarus Group، وهي كيان تهديد سيبراني مرتبط بكوريا الشمالية، مصائد مألوفة متعلقة بالوظيفة لتوزيع حصان طروادة جديد للوصول عن بعد (RAT) يُسمى Kaolin RAT خلال هجمات مستهدفة على أفراد محددين في منطقة آسيا في صيف عام 2023.
تتمتع هذه البرامج الضارة، بالإضافة إلى وظائف RAT النموذجية، بالقدرة على تعديل آخر طابع زمني للكتابة للملف المختار وتحميل أي ملف ثنائي DLL متوفر من خادم الأوامر والتحكم (C2). كان RAT بمثابة بوابة لنشر برنامج FudModule rootkit، والذي تمت ملاحظته مؤخرًا باستخدام استغلال من admin إلى kernel في برنامج تشغيل appid.sys (CVE-2024-21338) للحصول على إمكانية قراءة/كتابة kernel وبالتالي تعطيل الإجراءات الأمنية .
جدول المحتويات
عروض العمل الوهمية تُستخدم كإغراءات لنشر برنامج Kaolin RAT
يعد استخدام Lazarus Group لطعوم عروض العمل للتسلل إلى الأهداف بمثابة استراتيجية متكررة. تستخدم هذه الحملة الطويلة الأمد، المعروفة باسم Operation Dream Job، العديد من وسائل التواصل الاجتماعي ومنصات المراسلة الفورية لتوزيع البرامج الضارة.
في هذا المخطط، يتم الوصول الأولي عن طريق خداع الأهداف لفتح ملف صورة قرص ضوئي (ISO) غير آمن يحتوي على ثلاثة ملفات. يظهر أحد هذه الملفات كعميل Amazon VNC ('AmazonVNC.exe') ولكنه في الواقع نسخة مُعاد تسميتها من تطبيق Windows شرعي يُسمى 'choice.exe'. يعمل الملفان الآخران، المسمى "version.dll" و"aws.cfg"، كمحفزات لبدء عملية الإصابة. على وجه التحديد، يتم استخدام "AmazonVNC.exe" لتحميل "version.dll"، والذي يؤدي بعد ذلك إلى إنشاء عملية IExpress.exe وإدخال حمولة مخزنة داخل "aws.cfg".
تصيب سلسلة الهجمات المعقدة متعددة المراحل الأجهزة المعرضة للخطر
تم تصميم الحمولة لاسترداد كود القشرة من نطاق C2 ('henraux.com')، الذي يشتبه في أنه موقع ويب مخترق لشركة إيطالية متخصصة في معالجة الرخام والجرانيت.
على الرغم من أن الغرض الدقيق من كود القشرة لا يزال غير واضح، إلا أنه يُقال إنه يُستخدم لبدء RollFling، وهو محمل قائم على DLL مصمم للحصول على البرامج الضارة في المرحلة اللاحقة والتي تسمى RollSling وتنفيذها. يتم تنفيذ RollSling، الذي حددته Microsoft سابقًا في حملة Lazarus Group التي تستغل ثغرة أمنية خطيرة في JetBrains TeamCity (CVE-2023-42793)، مباشرة في الذاكرة لتجنب اكتشافها بواسطة أدوات الأمان، وهو ما يمثل المرحلة التالية من عملية الإصابة.
يتم بعد ذلك نشر أداة تحميل أخرى RollMid في الذاكرة، ومهمتها الاستعداد للهجوم وإنشاء اتصال مع خادم C2 من خلال سلسلة من الخطوات:
- اتصل بخادم C2 الأول لاسترداد ملف HTML يحتوي على عنوان خادم C2 الثاني.
- تواصل مع خادم C2 الثاني لاسترداد صورة PNG تحتوي على مكون ضار مخفي باستخدام إخفاء المعلومات.
- قم بنقل البيانات إلى خادم C2 الثالث باستخدام العنوان المخفي من داخل الصورة.
- قم بإحضار فقاعة بيانات إضافية مشفرة بـ Base64 من خادم C2 الثالث، والذي يحتوي على Kaolin RAT.
تُظهر مجموعة Lazarus تطورًا كبيرًا في هجوم Kaolin RAT
إن التطور التقني وراء التسلسل متعدد المراحل، على الرغم من تعقيده وتعقيده بلا شك، إلا أنه يصل إلى حدود المبالغة. يعتقد الباحثون أن Kaolin RAT يمهد الطريق لنشر برنامج FudModule rootkit بعد إعداد الاتصالات مع خادم RAT's C2.
بالإضافة إلى ذلك، تم تجهيز البرمجيات الخبيثة لتعداد الملفات، وتنفيذ عمليات الملفات، وتحميل الملفات إلى خادم C2، وتغيير الطابع الزمني الأخير للملف، وتعداد العمليات وإنشائها وإنهائها، وتنفيذ الأوامر باستخدام cmd.exe، وتنزيل ملفات DLL من خادم C2، والاتصال بمضيف عشوائي.
استهدفت مجموعة Lazarus الأفراد من خلال عروض عمل ملفقة واستخدمت مجموعة أدوات متطورة لتحقيق استمرارية أفضل مع تجاوز المنتجات الأمنية. ومن الواضح أنهم استثمروا موارد كبيرة في تطوير مثل هذه السلسلة الهجومية المعقدة. الأمر المؤكد هو أنه كان على Lazarus أن يبتكر بشكل مستمر ويخصص موارد هائلة للبحث في الجوانب المختلفة لتخفيف آثار Windows ومنتجات الأمان. وتشكل قدرتهم على التكيف والتطور تحديًا كبيرًا لجهود الأمن السيبراني.