Kaolin RAT

Το Lazarus Group, μια οντότητα κυβερνοαπειλής που συνδέεται με τη Βόρεια Κορέα, χρησιμοποίησε γνωστές παγίδες που σχετίζονται με την εργασία για να διανείμει ένα νέο Trojan Remote Access (RAT) που ονομάζεται Kaolin RAT κατά τη διάρκεια στοχευμένων επιθέσεων σε συγκεκριμένα άτομα στην περιοχή της Ασίας το καλοκαίρι του 2023.

Αυτό το κακόβουλο λογισμικό, εκτός από τις τυπικές λειτουργίες RAT, είχε τη δυνατότητα να τροποποιήσει την τελευταία χρονική σήμανση εγγραφής ενός επιλεγμένου αρχείου και να φορτώσει οποιοδήποτε παρεχόμενο δυαδικό αρχείο DLL από έναν διακομιστή Command-and-Control (C2). Το RAT χρησίμευσε ως πύλη για την ανάπτυξη του rootkit FudModule, το οποίο παρατηρήθηκε πρόσφατα χρησιμοποιώντας ένα exploit από διαχειριστή στον πυρήνα στο πρόγραμμα οδήγησης appid.sys (CVE-2024-21338) για να αποκτήσει μια ικανότητα ανάγνωσης/εγγραφής πυρήνα και στη συνέχεια να απενεργοποιήσει τα μέτρα ασφαλείας .

Ψεύτικες προσφορές εργασίας που χρησιμοποιούνται ως δέλεαρ για την ανάπτυξη του Kaolin RAT

Η χρήση των δολωμάτων προσφοράς εργασίας από τον Όμιλο Lazarus για διείσδυση στόχων είναι μια επαναλαμβανόμενη στρατηγική. Γνωστή ως Operation Dream Job, αυτή η μακροχρόνια καμπάνια χρησιμοποιεί διάφορα μέσα κοινωνικής δικτύωσης και πλατφόρμες ανταλλαγής άμεσων μηνυμάτων για τη διανομή κακόβουλου λογισμικού.

Σε αυτό το σχήμα, η αρχική πρόσβαση αποκτάται με την εξαπάτηση των στόχων ώστε να ανοίξουν ένα μη ασφαλές αρχείο εικόνας οπτικού δίσκου (ISO) που περιέχει τρία αρχεία. Ένα από αυτά τα αρχεία παρουσιάζεται ως πελάτης Amazon VNC ("AmazonVNC.exe"), αλλά στην πραγματικότητα είναι μια μετονομασμένη έκδοση μιας νόμιμης εφαρμογής των Windows που ονομάζεται "choice.exe". Τα άλλα δύο αρχεία, που ονομάζονται «version.dll» και «aws.cfg», χρησιμεύουν ως καταλύτες για την έναρξη της διαδικασίας μόλυνσης. Συγκεκριμένα, το "AmazonVNC.exe" χρησιμοποιείται για τη φόρτωση του "version.dll", το οποίο στη συνέχεια δημιουργεί μια διεργασία IExpress.exe και εισάγει ένα ωφέλιμο φορτίο που είναι αποθηκευμένο στο "aws.cfg".

Μια σύνθετη αλυσίδα επίθεσης πολλαπλών σταδίων μολύνει τις παραβιασμένες συσκευές

Το ωφέλιμο φορτίο έχει σχεδιαστεί για να ανακτά κώδικα κελύφους από έναν τομέα C2 («henraux.com»), ο οποίος υποπτεύεται ότι είναι παραβιασμένος ιστότοπος μιας ιταλικής εταιρείας που ειδικεύεται στην επεξεργασία μαρμάρου και γρανίτη.

Αν και ο ακριβής σκοπός του shellcode παραμένει ασαφής, φέρεται να χρησιμοποιείται για την εκκίνηση του RollFling, ενός φορτωτή που βασίζεται σε DLL που έχει σχεδιαστεί για την απόκτηση και εκτέλεση του επόμενου σταδίου κακόβουλου λογισμικού που ονομάζεται RollSling. Το RollSling, που είχε προηγουμένως αναγνωριστεί από τη Microsoft σε μια καμπάνια του Ομίλου Lazarus που εκμεταλλεύεται μια κρίσιμη ευπάθεια JetBrains TeamCity (CVE-2023-42793), εκτελείται απευθείας στη μνήμη για να αποφευχθεί ο εντοπισμός από εργαλεία ασφαλείας, αντιπροσωπεύοντας την επόμενη φάση της διαδικασίας μόλυνσης.

Στη συνέχεια, το RollMid, ένας άλλος φορτωτής, αναπτύσσεται στη μνήμη, επιφορτισμένος με την προετοιμασία για την επίθεση και την εγκατάσταση επικοινωνίας με έναν διακομιστή C2 μέσω μιας σειράς βημάτων:

  • Επικοινωνήστε με τον πρώτο διακομιστή C2 για να ανακτήσετε ένα αρχείο HTML που περιέχει τη διεύθυνση του δεύτερου διακομιστή C2.
  • Επικοινωνήστε με τον δεύτερο διακομιστή C2 για να ανακτήσετε μια εικόνα PNG που περιέχει ένα επιβλαβές στοιχείο που κρύβεται με τη χρήση στεγανογραφίας.
  • Μεταδώστε δεδομένα στον τρίτο διακομιστή C2 χρησιμοποιώντας την κρυφή διεύθυνση μέσα από την εικόνα.
  • Λάβετε ένα πρόσθετο blob δεδομένων με κωδικοποίηση Base64 από τον τρίτο διακομιστή C2, ο οποίος περιέχει το Kaolin RAT.

Η Ομάδα Lazarus παρουσιάζει σημαντική επιτήδευση στην επίθεση Kaolin RAT

Η τεχνική πολυπλοκότητα πίσω από την ακολουθία πολλών σταδίων, αν και αναμφίβολα περίπλοκη και περίπλοκη, συνορεύει με την υπερβολή. Οι ερευνητές πιστεύουν ότι το Kaolin RAT ανοίγει το δρόμο για την ανάπτυξη του rootkit FudModule μετά τη ρύθμιση των επικοινωνιών με τον διακομιστή C2 του RAT.

Επιπλέον, το κακόβουλο λογισμικό είναι εξοπλισμένο για απαρίθμηση αρχείων, εκτέλεση εργασιών αρχείων, αποστολή αρχείων στον διακομιστή C2, αλλαγή της τελευταίας τροποποιημένης χρονικής σφραγίδας ενός αρχείου, απαρίθμηση, δημιουργία και τερματισμό διεργασιών, εκτέλεση εντολών χρησιμοποιώντας cmd.exe, λήψη αρχείων DLL από το διακομιστή C2 και συνδεθείτε σε έναν αυθαίρετο κεντρικό υπολογιστή.

Ο όμιλος Lazarus στόχευε άτομα μέσω κατασκευασμένων προσφορών εργασίας και χρησιμοποίησε ένα εξελιγμένο σύνολο εργαλείων για να επιτύχει καλύτερη επιμονή παρακάμπτοντας τα προϊόντα ασφαλείας. Είναι προφανές ότι επένδυσαν σημαντικούς πόρους για την ανάπτυξη μιας τόσο περίπλοκης αλυσίδας επίθεσης. Το σίγουρο είναι ότι ο Lazarus έπρεπε να καινοτομεί συνεχώς και να διαθέσει τεράστιους πόρους για να ερευνήσει διάφορες πτυχές των προϊόντων μετριασμού και ασφάλειας των Windows. Η ικανότητά τους να προσαρμόζονται και να εξελίσσονται αποτελεί σημαντική πρόκληση για τις προσπάθειες για την ασφάλεια στον κυβερνοχώρο.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...