Kaolin RAT

Il Lazarus Group, un'entità di minaccia informatica collegata alla Corea del Nord, ha utilizzato trappole familiari legate al lavoro per distribuire un nuovo Trojan di accesso remoto (RAT) denominato Kaolin RAT durante attacchi mirati contro individui specifici nella regione asiatica nell'estate del 2023.

Questo malware, oltre alle tipiche funzionalità RAT, aveva la capacità di modificare il timestamp dell'ultima scrittura di un file scelto e caricare qualsiasi binario DLL fornito da un server Command-and-Control (C2). Il RAT fungeva da gateway per distribuire il rootkit FudModule, che è stato recentemente osservato utilizzando un exploit admin-to-kernel nel driver appid.sys (CVE-2024-21338) per ottenere una capacità di lettura/scrittura del kernel e successivamente disabilitare le misure di sicurezza .

Offerte di lavoro false utilizzate come esche per l’impiego del Kaolin RAT

L'utilizzo da parte del Gruppo Lazarus di esche offerte di lavoro per infiltrare obiettivi è una strategia ricorrente. Conosciuta come Operazione Dream Job, questa campagna di lunga data utilizza vari social media e piattaforme di messaggistica istantanea per distribuire malware.

In questo schema, l'accesso iniziale viene ottenuto inducendo gli obiettivi ad aprire un file ISO (Optical Disc Image) non sicuro contenente tre file. Uno di questi file si presenta come un client Amazon VNC ("AmazonVNC.exe") ma in realtà è una versione rinominata di un'applicazione Windows legittima chiamata "choice.exe". Gli altri due file, denominati "version.dll" e "aws.cfg", fungono da catalizzatori per avviare il processo di infezione. Nello specifico, "AmazonVNC.exe" viene utilizzato per caricare "version.dll", che quindi genera un processo IExpress.exe e inserisce un payload archiviato in "aws.cfg".

Una complessa catena di attacchi a più fasi infetta i dispositivi compromessi

Il payload è progettato per recuperare lo shellcode da un dominio C2 ('henraux.com'), sospettato di essere un sito web compromesso di un'azienda italiana specializzata nella lavorazione di marmo e granito.

Sebbene lo scopo esatto dello shellcode rimanga poco chiaro, secondo quanto riferito viene utilizzato per avviare RollFling, un caricatore basato su DLL progettato per ottenere ed eseguire il malware della fase successiva chiamato RollSling. RollSling, precedentemente identificato da Microsoft in una campagna del Lazarus Group che sfruttava una vulnerabilità critica di JetBrains TeamCity (CVE-2023-42793), viene eseguito direttamente in memoria per evitare il rilevamento da parte degli strumenti di sicurezza, rappresentando la fase successiva del processo di infezione.

RollMid, un altro caricatore, viene quindi distribuito in memoria, con il compito di prepararsi all'attacco e stabilire la comunicazione con un server C2 attraverso una serie di passaggi:

• Contatta il primo server C2 per recuperare un file HTML contenente l'indirizzo del secondo server C2.

• Comunica con il secondo server C2 per recuperare un'immagine PNG contenente un componente dannoso nascosto utilizzando la steganografia.

• Trasmetti i dati al terzo server C2 utilizzando l'indirizzo nascosto all'interno dell'immagine.

• Recupera un ulteriore BLOB di dati con codifica Base64 dal terzo server C2, che contiene Kaolin RAT.

Il Gruppo Lazarus mostra una significativa sofisticazione nell’attacco al RAT al caolino

La sofisticatezza tecnica dietro la sequenza in più fasi, sebbene senza dubbio complessa e intricata, rasenta l'eccessivo. I ricercatori ritengono che il Kaolin RAT apra la strada all'implementazione del rootkit FudModule dopo aver impostato le comunicazioni con il server C2 del RAT.

Inoltre, il malware è in grado di enumerare file, eseguire operazioni sui file, caricare file sul server C2, alterare il timestamp dell'ultima modifica di un file, enumerare, creare e terminare processi, eseguire comandi utilizzando cmd.exe, scaricare file DLL dal C2 server e connettersi a un host arbitrario.

Il gruppo Lazarus prendeva di mira individui attraverso offerte di lavoro inventate e utilizzava un set di strumenti sofisticati per ottenere una migliore persistenza aggirando i prodotti di sicurezza. È evidente che hanno investito risorse significative nello sviluppo di una catena di attacco così complessa. Ciò che è certo è che Lazarus ha dovuto innovarsi continuamente e stanziare enormi risorse per ricercare vari aspetti delle mitigazioni e dei prodotti di sicurezza di Windows. La loro capacità di adattarsi ed evolversi rappresenta una sfida significativa per gli sforzi di sicurezza informatica.