Kaolin RAT

Lazarus Group, Pohjois-Koreaan linkitetty kyberuhkakokonaisuus, käytti tuttuja työhön liittyviä ansoja levittääkseen uutta Kaolin RAT -nimistä etäkäyttötroijalaista (RAT) kohdistettujen hyökkäysten aikana Aasian alueella kesällä 2023.

Tämä haittaohjelma pystyi tyypillisten RAT-toimintojen lisäksi muokkaamaan valitun tiedoston viimeistä kirjoitusaikaleimaa ja lataamaan minkä tahansa toimitetun DLL-binaarin Command-and-Control (C2) -palvelimelta. RAT toimi yhdyskäytävänä FudModule-juuripaketin käyttöönotolle, joka havaittiin äskettäin käyttämällä admin-to-ytimen hyväksikäyttöä appid.sys-ohjaimessa (CVE-2024-21338) ytimen luku-/kirjoitusominaisuuden hankkimiseksi ja sen jälkeen suojaustoimenpiteiden poistamiseksi käytöstä. .

Väärennetyt työtarjoukset, joita käytetään vieheinä Kaoliinirotan käyttöönotossa

Lazarus Groupin työpaikkatarjoussyöttien hyödyntäminen kohteiden tunkeutumiseen on toistuva strategia. Tämä Operation Dream Job -nimellä tunnettu kampanja käyttää erilaisia sosiaalisen median ja pikaviestialustoja haittaohjelmien levittämiseen.

Tässä mallissa ensimmäinen käyttöoikeus saadaan huijaamalla kohteita avaamaan vaarallinen optinen levykuvatiedosto (ISO), joka sisältää kolme tiedostoa. Yksi näistä tiedostoista toimii Amazon VNC -asiakkaana ("AmazonVNC.exe"), mutta se on itse asiassa uudelleennimetty versio laillisesta Windows-sovelluksesta nimeltä "choice.exe". Kaksi muuta tiedostoa, nimeltään "version.dll" ja "aws.cfg", toimivat katalysaattoreina tartuntaprosessin käynnistämisessä. Tarkemmin sanottuna AmazonVNC.exe-tiedostoa käytetään lataamaan "version.dll", joka sitten synnyttää IExpress.exe-prosessin ja lisää aws.cfg-tiedostoon tallennetun hyötykuorman.

Monimutkainen monivaiheinen hyökkäysketju saastuttaa vaarantuneet laitteet

Hyötykuorma on suunniteltu hakemaan shell-koodi C2-verkkotunnuksesta ("henraux.com"), jonka epäillään olevan marmorin ja graniitin käsittelyyn erikoistuneen italialaisen yrityksen vaarantunut verkkosivusto.

Vaikka shellkoodin tarkka tarkoitus on edelleen epäselvä, sitä käytetään väitetysti käynnistämään RollFling, DLL-pohjainen latausohjelma, joka on suunniteltu hankkimaan ja suorittamaan myöhemmän vaiheen haittaohjelma nimeltä RollSling. RollSling, jonka Microsoft tunnisti aiemmin Lazarus Group -kampanjassa, jossa hyödynnettiin kriittistä JetBrains TeamCity-haavoittuvuutta (CVE-2023-42793), suoritetaan suoraan muistissa, jotta suojaustyökalut eivät havaitse niitä, mikä edustaa tartuntaprosessin seuraavaa vaihetta.

Toinen latauslaite RollMid otetaan sitten käyttöön muistissa, ja sen tehtävänä on valmistautua hyökkäykseen ja muodostaa yhteys C2-palvelimeen useiden vaiheiden avulla:

  • Ota yhteyttä ensimmäiseen C2-palvelimeen hakeaksesi HTML-tiedoston, joka sisältää toisen C2-palvelimen osoitteen.
  • Ota yhteyttä toisen C2-palvelimen kanssa hakeaksesi PNG-kuvan, joka sisältää steganografian avulla piilotetun haitallisen komponentin.
  • Siirrä tiedot kolmannelle C2-palvelimelle käyttämällä kuvan sisällä olevaa piilotettua osoitetta.
  • Hae ylimääräinen Base64-koodattu datablob kolmannelta C2-palvelimelta, joka sisältää Kaolin RAT:n.

Lazarus-ryhmällä on huomattavaa hienostuneisuutta kaoliinirottien hyökkäyksessä

Monivaiheisen sekvenssin takana oleva tekninen hienostuneisuus, vaikka se on epäilemättä monimutkainen ja monimutkainen, rajoittuu ylilyönteihin. Tutkijat uskovat, että Kaolin RAT tasoittaa tietä FudModule-rootkitin käyttöönotolle sen jälkeen, kun yhteys on muodostettu RAT:n C2-palvelimen kanssa.

Lisäksi haittaohjelma on varustettu luetteloimaan tiedostoja, suorittamaan tiedostotoimintoja, lataamaan tiedostoja C2-palvelimelle, muuttamaan tiedoston viimeksi muokattua aikaleimaa, luettelemaan, luomaan ja lopettamaan prosesseja, suorittamaan komentoja cmd.exe:n avulla, lataamaan DLL-tiedostoja C2-palvelin ja muodosta yhteys mielivaltaiseen isäntään.

Lazarus-ryhmä kohdistaa kohteensa yksilöihin tekemällä keinotekoisia työtarjouksia ja käytti kehittyneitä työkaluja saavuttaakseen parempaa pysyvyyttä ohittaen samalla tietoturvatuotteet. On selvää, että he investoivat huomattavia resursseja tällaisen monimutkaisen hyökkäysketjun kehittämiseen. Varmaa on, että Lazarus joutui jatkuvasti innovoimaan ja kohdistamaan valtavia resursseja Windowsin lieventämis- ja tietoturvatuotteiden eri näkökohtien tutkimiseen. Heidän kykynsä mukautua ja kehittyä on merkittävä haaste kyberturvallisuudelle.

Trendaavat

Eniten katsottu

Ladataan...