Каолин RAT

Lazarus Group, организация за киберзаплахи, свързана със Северна Корея, използва познати капани, свързани с работата, за да разпространи нов троянски кон за отдалечен достъп (RAT), наречен Kaolin RAT, по време на целенасочени атаки срещу определени лица в региона на Азия през лятото на 2023 г.

Този злонамерен софтуер, в допълнение към типичните функционалности на RAT, имаше способността да променя последното клеймо за запис на избран файл и да зарежда всеки предоставен DLL двоичен файл от Command-and-Control (C2) сървър. RAT послужи като шлюз за внедряване на руткита FudModule, който наскоро беше наблюдаван с помощта на експлойт от администратор към ядро в драйвера appid.sys (CVE-2024-21338), за да получи възможност за четене/запис на ядрото и впоследствие да деактивира мерките за сигурност .

Фалшиви оферти за работа, използвани като примамки за внедряване на Kaolin RAT

Използването от Lazarus Group на примамки за предложения за работа за проникване на цели е повтаряща се стратегия. Известна като Operation Dream Job, тази дългогодишна кампания използва различни социални медии и платформи за незабавни съобщения за разпространение на зловреден софтуер.

В тази схема първоначалният достъп се получава чрез измама на целите да отворят опасен файл с изображение на оптичен диск (ISO), съдържащ три файла. Един от тези файлове се представя като клиент на Amazon VNC („AmazonVNC.exe“), но всъщност е преименувана версия на легитимно приложение на Windows, наречено „choice.exe“. Другите два файла, наречени „version.dll“ и „aws.cfg“, служат като катализатори за иницииране на процеса на заразяване. По-конкретно, „AmazonVNC.exe“ се използва за зареждане на „version.dll“, който след това създава процес IExpress.exe и инжектира полезен товар, съхранен в „aws.cfg“.

Сложна многоетапна верига от атаки заразява компрометираните устройства

Полезният товар е проектиран да извлича shellcode от домейн C2 („henraux.com“), за който се подозира, че е компрометиран уебсайт на италианска компания, специализирана в обработката на мрамор и гранит.

Въпреки че точната цел на шелкода остава неясна, според съобщенията той се използва за иницииране на RollFling, DLL-базиран товарач, предназначен да получи и изпълни зловреден софтуер в последващ етап, наречен RollSling. RollSling, идентифициран преди това от Microsoft в кампания на Lazarus Group, използваща критична уязвимост на JetBrains TeamCity (CVE-2023-42793), се изпълнява директно в паметта, за да се избегне откриване от инструменти за сигурност, представлявайки следващата фаза от процеса на заразяване.

RollMid, друг товарач, след това се разполага в паметта, натоварен със задачата да подготви атаката и да установи комуникация със сървър C2 чрез поредица от стъпки:

  • Свържете се с първия C2 сървър, за да извлечете HTML файл, съдържащ адреса на втория C2 сървър.
  • Комуникирайте с втория C2 сървър, за да извлечете PNG изображение, съдържащо вреден компонент, скрит с помощта на стеганография.
  • Предавайте данни към третия C2 сървър, като използвате скрития адрес от изображението.
  • Извлечете допълнителен Base64-кодиран блок с данни от третия C2 сървър, който съдържа Kaolin RAT.

Групата Lazarus показва значителна сложност в атаката на Каолин RAT

Техническата сложност зад многоетапната последователност, макар и без съмнение сложна и сложна, граничи с прекаляване. Изследователите смятат, че Kaolin RAT проправя пътя за внедряването на FudModule rootkit след установяване на комуникации с C2 сървъра на RAT.

В допълнение, злонамереният софтуер е оборудван да изброява файлове, да извършва файлови операции, да качва файлове на C2 сървъра, да променя последното модифицирано времево клеймо на файл, да изброява, създава и прекратява процеси, да изпълнява команди с помощта на cmd.exe, да изтегля DLL файлове от C2 сървър и се свържете с произволен хост.

Групата Lazarus се насочва към лица чрез изфабрикувани оферти за работа и използва усъвършенстван набор от инструменти, за да постигне по-добра устойчивост, като заобиколи продуктите за сигурност. Очевидно е, че те са инвестирали значителни ресурси в разработването на такава сложна верига за атака. Това, което е сигурно е, че Lazarus трябваше непрекъснато да прави нововъведения и да разпределя огромни ресурси за изследване на различни аспекти на смекчаването на Windows и продуктите за сигурност. Способността им да се адаптират и развиват представлява значително предизвикателство за усилията за киберсигурност.

Тенденция

Най-гледан

Зареждане...