Kaolin RAT
A Lazarus Group, egy Észak-Koreához köthető kiberfenyegető szervezet, ismerős munkával kapcsolatos csapdákat használt egy új, Kaolin RAT nevű távelérési trójai (RAT) terjesztésére az ázsiai régióban 2023 nyarán meghatározott személyek elleni célzott támadások során.
Ez a rosszindulatú program a tipikus RAT-funkciókon kívül képes volt módosítani egy kiválasztott fájl utolsó írási időbélyegét, és betölteni bármilyen DLL bináris fájlt egy Command-and-Control (C2) szerverről. A RAT átjáróként szolgált a FudModule rootkit telepítéséhez, amelyet a közelmúltban megfigyeltek az appid.sys illesztőprogram (CVE-2024-21338) admin-to-kernel exploit segítségével, amellyel a kernel olvasási/írási képességét szerezte meg, és ezt követően letiltotta a biztonsági intézkedéseket. .
Tartalomjegyzék
Hamis állásajánlatok csaliként a Kaolin RAT telepítéséhez
A Lazarus Group visszatérő stratégiája az állásajánlati csaliknak a célpontok behatolására. Ez az Operation Dream Job néven ismert kampány különféle közösségi médiát és azonnali üzenetküldő platformokat alkalmaz a rosszindulatú programok terjesztésére.
Ebben a sémában a kezdeti hozzáférést úgy érik el, hogy a célpontokat megtévesztik egy nem biztonságos optikai lemezkép (ISO) fájl megnyitásával, amely három fájlt tartalmaz. Ezen fájlok egyike Amazon VNC-kliensnek („AmazonVNC.exe”) jelenik meg, de valójában egy legitim Windows-alkalmazás átnevezett változata, a „choice.exe”. A másik két fájl, a 'version.dll' és 'aws.cfg', katalizátorként szolgál a fertőzési folyamat elindításához. Pontosabban, az „AmazonVNC.exe” a „version.dll” betöltésére szolgál, amely aztán egy IExpress.exe folyamatot indít el, és beilleszti az „aws.cfg” fájlban tárolt hasznos adatokat.
Egy összetett többlépcsős támadási lánc megfertőzi a kompromittált eszközöket
A rakományt úgy tervezték, hogy lekérje a shellkódot egy C2 tartományról ("henraux.com"), amely feltehetően egy márvány- és gránitfeldolgozásra szakosodott olasz cég feltört webhelye.
Bár a shellkód pontos célja továbbra is tisztázatlan, a jelentések szerint a RollFling elindítására használják, egy DLL-alapú betöltő, amelyet a RollSling nevű, következő fázisú rosszindulatú program megszerzésére és végrehajtására terveztek. A RollSling, amelyet korábban a Microsoft egy Lazarus Group kampányában azonosított, amely egy kritikus JetBrains TeamCity sebezhetőséget (CVE-2023-42793) használ ki, közvetlenül a memóriában fut le, hogy elkerülje a biztonsági eszközök általi észlelést, és ez a fertőzési folyamat következő fázisa.
Ezután a RollMid, egy másik betöltő telepítésre kerül a memóriában, feladata a támadás előkészítése és a kommunikáció létrehozása a C2 szerverrel egy sor lépésen keresztül:
- Lépjen kapcsolatba az első C2-szerverrel a második C2-szerver címét tartalmazó HTML-fájl lekéréséhez.
A Lazarus csoport jelentős kifinomultságot mutat a kaolin patkánytámadásban
A többlépcsős sorozat mögött meghúzódó technikai kifinomultság, bár kétségtelenül összetett és bonyolult, a túlzás határát súrolja. A kutatók úgy vélik, hogy a Kaolin RAT megnyitja az utat a FudModule rootkit telepítéséhez, miután létrehozta a kommunikációt a RAT C2 szerverével.
Ezenkívül a kártevő fel van szerelve fájlok felsorolására, fájlműveletek végrehajtására, fájlok feltöltésére a C2 szerverre, a fájl utoljára módosított időbélyegének módosítására, folyamatok felsorolására, létrehozására és leállítására, parancsok végrehajtására a cmd.exe használatával, DLL-fájlok letöltésére a C2 kiszolgálót, és csatlakozzon egy tetszőleges gazdagéphez.
A Lazarus csoport koholt állásajánlatokkal célozta meg az egyéneket, és kifinomult eszközkészletet alkalmazott a jobb kitartás elérése érdekében, miközben megkerülte a biztonsági termékeket. Nyilvánvaló, hogy jelentős erőforrásokat fektettek egy ilyen összetett támadási lánc kifejlesztésébe. Annyi bizonyos, hogy a Lazarusnak folyamatosan újítania kellett, és hatalmas erőforrásokat kellett elkülönítenie a Windows csökkentési és biztonsági termékek különböző aspektusainak kutatására. Alkalmazkodási és fejlődési képességük jelentős kihívás elé állítja a kiberbiztonsági erőfeszítéseket.