Kaolin RAT
Põhja-Koreaga seotud küberohuüksus Lazarus Group kasutas 2023. aasta suvel Aasia piirkonnas konkreetsete isikute vastu suunatud rünnakute käigus uue kaugjuurdepääsu troojalase (RAT) levitamiseks tuttavaid tööga seotud lõkse.
Sellel pahavaral oli lisaks tüüpilistele RAT-funktsioonidele võimalus muuta valitud faili viimast kirjutamise ajatemplit ja laadida käsu-and-juhtimise (C2) serverist mis tahes pakutud DLL-i binaarfaile. RAT toimis lüüsina FudModule'i juurkomplekti juurutamiseks, mida hiljuti täheldati apid.sys draiveris (CVE-2024-21338) admin-to-kernel exploit'i abil, et saada kerneli lugemis-/kirjutusvõime ja seejärel keelata turvameetmed. .
Sisukord
Võltstööpakkumised, mida kasutatakse Kaoliini RATi juurutamiseks peibutisena
Lazarus Groupi tööpakkumiste sööt kasutamine sihtmärkidesse imbumiseks on korduv strateegia. See pikaajaline kampaania, mida tuntakse operatsioonina Unistuste töö, kasutab pahavara levitamiseks erinevaid sotsiaalmeedia- ja kiirsõnumiplatvorme.
Selles skeemis saadakse esialgne juurdepääs, pettes sihtmärke avama kolme faili sisaldava ebaturvalise optilise ketta kujutise (ISO) faili. Üks neist failidest kujutab endast Amazoni VNC klienti (AmazonVNC.exe), kuid tegelikult on see seadusliku Windowsi rakenduse ümbernimetatud versioon nimega 'choice.exe'. Ülejäänud kaks faili nimega 'version.dll' ja 'aws.cfg' toimivad nakatumisprotsessi käivitamise katalüsaatoritena. Täpsemalt kasutatakse faili „AmazonVNC.exe” faili „version.dll” laadimiseks, mis seejärel käivitab IExpress.exe protsessi ja sisestab faili „aws.cfg” salvestatud kasuliku koormuse.
Keeruline mitmeastmeline rünnakuahel nakatab ohustatud seadmeid
Kasulik koormus on loodud shellkoodi hankimiseks C2 domeenilt ("henraux.com"), mis arvatavasti on marmori ja graniidi töötlemisele spetsialiseerunud Itaalia ettevõtte ohustatud veebisait.
Kuigi shellkoodi täpne eesmärk jääb ebaselgeks, kasutatakse seda väidetavalt RollFlingi, DLL-põhise laaduri käivitamiseks, mis on loodud järgmise etapi pahavara nimega RollSling hankimiseks ja käivitamiseks. RollSling, mille Microsoft tuvastas varem Lazarus Groupi kampaanias, kasutades ära JetBrains TeamCity kriitilist haavatavust (CVE-2023-42793), käivitatakse otse mällu, et vältida turvatööriistade tuvastamist, mis esindab nakatumisprotsessi järgmist etappi.
Seejärel juurutatakse mällu teine laadur RollMid, mille ülesandeks on valmistuda rünnakuks ja luua side C2-serveriga mitme sammu kaudu:
- Võtke ühendust esimese C2-serveriga, et hankida HTML-fail, mis sisaldab teise C2-serveri aadressi.
- Steganograafia abil peidetud kahjulikku komponenti sisaldava PNG-kujutise hankimiseks suhelge teise C2-serveriga.
- Edastage andmed kolmandasse C2 serverisse, kasutades pildi peidetud aadressi.
- Hankige kolmandast C2-serverist täiendav Base64-kodeeringuga andmeplokk, mis sisaldab Kaolin RAT-i.
Lazaruse rühm on kaoliini rottide rünnakus märkimisväärselt keerukas
Mitmeastmelise jada taga olev tehniline keerukus, kuigi kahtlemata keerukas ja keerukas, piirneb liialdusega. Teadlased usuvad, et Kaolin RAT sillutab teed FudModule'i juurkomplekti juurutamiseks pärast RAT-i C2-serveriga side loomist.
Lisaks on pahavara varustatud failide loendamiseks, failitoimingute tegemiseks, failide üleslaadimiseks C2 serverisse, faili viimati muudetud ajatempli muutmiseks, protsesside loendamiseks, loomiseks ja lõpetamiseks, käskude täitmiseks cmd.exe abil, DLL-failide allalaadimiseks failist C2 serveriga ja looge ühendus suvalise hostiga.
Lazaruse rühm võttis sihikule üksikisikud väljamõeldud tööpakkumiste kaudu ja kasutas täiustatud tööriistakomplekti, et saavutada parem püsivus, minnes turvatoodetest mööda. On ilmne, et nad investeerisid nii keerulise ründeahela väljatöötamisse märkimisväärseid ressursse. Kindel on see, et Lazarus pidi pidevalt uuendusi tegema ja eraldama tohutult ressursse Windowsi leevendus- ja turbetoodete erinevate aspektide uurimiseks. Nende kohanemis- ja arenemisvõime seab küberjulgeolekualastele jõupingutustele olulise väljakutse.