Kaolin RAT
Lazarus Group, en cybertrussel-enhed knyttet til Nordkorea, brugte velkendte jobrelaterede fælder til at distribuere en ny Remote Access Trojan (RAT) ved navn Kaolin RAT under målrettede angreb på specifikke individer i Asien-regionen i sommeren 2023.
Denne malware havde, udover typiske RAT-funktioner, evnen til at ændre det sidste skrivetidsstempel for en valgt fil og indlæse enhver tilvejebragt DLL-binær fra en Command-and-Control-server (C2). RAT tjente som en gateway til at implementere FudModule rootkit, som for nylig blev observeret ved hjælp af en admin-til-kerne udnyttelse i appid.sys driveren (CVE-2024-21338) for at få en kerne læse/skrive-kapacitet og efterfølgende deaktivere sikkerhedsforanstaltninger .
Indholdsfortegnelse
Falske jobtilbud brugt som lokker til implementering af Kaolin RAT
Lazarus-gruppens brug af lokkemad til infiltrerende mål er en tilbagevendende strategi. Denne mangeårige kampagne, der er kendt som Operation Dream Job, bruger forskellige sociale medier og instant messaging-platforme til at distribuere malware.
I dette skema opnås indledende adgang ved at narre mål til at åbne en usikker ISO-fil (Optical Disc Image) indeholdende tre filer. En af disse filer udgør en Amazon VNC-klient ('AmazonVNC.exe'), men er faktisk en omdøbt version af et legitimt Windows-program kaldet 'choice.exe'. De to andre filer, kaldet 'version.dll' og 'aws.cfg', tjener som katalysatorer til at starte infektionsprocessen. Specifikt bruges 'AmazonVNC.exe' til at indlæse 'version.dll', som derefter afføder en IExpress.exe-proces og injicerer en nyttelast, der er gemt i 'aws.cfg.'
En kompleks flertrins angrebskæde inficerer de kompromitterede enheder
Nyttelasten er udviklet til at hente shellcode fra et C2-domæne ('henraux.com'), der mistænkes for at være et kompromitteret websted for en italiensk virksomhed, der er specialiseret i marmor- og granitbehandling.
Selvom det nøjagtige formål med shell-koden forbliver uklart, bruges den angiveligt til at starte RollFling, en DLL-baseret loader designet til at opnå og udføre den efterfølgende malware kaldet RollSling. RollSling, tidligere identificeret af Microsoft i en Lazarus Group-kampagne, der udnytter en kritisk JetBrains TeamCity-sårbarhed (CVE-2023-42793), udføres direkte i hukommelsen for at undgå opdagelse af sikkerhedsværktøjer, hvilket repræsenterer den næste fase af infektionsprocessen.
RollMid, en anden loader, implementeres derefter i hukommelsen, som har til opgave at forberede angrebet og etablere kommunikation med en C2-server gennem en række trin:
- Kontakt den første C2-server for at hente en HTML-fil, der indeholder adressen på den anden C2-server.
- Kommuniker med den anden C2-server for at hente et PNG-billede, der indeholder en skadelig komponent, der er skjult ved hjælp af steganografi.
- Send data til den tredje C2-server ved hjælp af den skjulte adresse fra billedet.
- Hent en ekstra Base64-kodet datablob fra den tredje C2-server, som indeholder Kaolin RAT.
Lazarus-gruppen udviser betydelig sofistikering i Kaolin RAT-angrebet
Den tekniske sofistikering bag multi-stage sekvensen, selvom den uden tvivl er kompleks og indviklet, grænser til overkill. Forskere mener, at Kaolin RAT baner vejen for implementeringen af FudModule rootkit efter opsætning af kommunikation med RAT's C2-server.
Derudover er malwaren udstyret til at optælle filer, udføre filoperationer, uploade filer til C2-serveren, ændre en fils sidst ændrede tidsstempel, opregne, oprette og afslutte processer, udføre kommandoer ved hjælp af cmd.exe, downloade DLL-filer fra C2-server, og opret forbindelse til en vilkårlig vært.
Lazarus-gruppen målrettede enkeltpersoner gennem opdigtede jobtilbud og brugte et sofistikeret værktøjssæt for at opnå bedre vedholdenhed og samtidig omgå sikkerhedsprodukter. Det er tydeligt, at de investerede betydelige ressourcer i at udvikle en så kompleks angrebskæde. Hvad der er sikkert, er, at Lazarus var nødt til at innovere løbende og allokere enorme ressourcer til at undersøge forskellige aspekter af Windows-reduktioner og sikkerhedsprodukter. Deres evne til at tilpasse sig og udvikle sig udgør en betydelig udfordring for cybersikkerhedsindsatsen.