Kaolin RAT

북한과 연계된 사이버 위협 단체인 Lazarus Group은 2023년 여름 아시아 지역의 특정 개인을 대상으로 한 표적 공격 중에 친숙한 업무 관련 트랩을 활용하여 Kaolin RAT라는 새로운 원격 액세스 트로이 목마(RAT)를 배포했습니다.

이 악성코드는 일반적인 RAT 기능 외에도 선택한 파일의 마지막 쓰기 타임스탬프를 수정하고 명령 및 제어(C2) 서버에서 제공된 DLL 바이너리를 로드하는 기능을 갖고 있었습니다. RAT는 최근 appid.sys 드라이버(CVE-2024-21338)의 관리자-커널 익스플로잇을 사용하여 커널 읽기/쓰기 기능을 얻은 후 보안 조치를 비활성화하는 FudModule 루트킷을 배포하기 위한 게이트웨이 역할을 했습니다. .

Kaolin RAT 배포를 위한 미끼로 활용되는 가짜 채용 제안

라자루스 그룹 이 표적 침투를 위해 구인 미끼를 활용하는 것은 반복되는 전략이다. Operation Dream Job으로 알려진 이 오랜 캠페인은 다양한 소셜 미디어와 인스턴트 메시징 플랫폼을 사용하여 악성 코드를 배포합니다.

이 방식에서는 대상을 속여 세 개의 파일이 포함된 안전하지 않은 광학 디스크 이미지(ISO) 파일을 열도록 하여 초기 액세스를 얻습니다. 이러한 파일 중 하나는 Amazon VNC 클라이언트('AmazonVNC.exe')로 위장하지만 실제로는 'choice.exe'라는 합법적인 Windows 애플리케이션의 이름이 변경된 버전입니다. 'version.dll'과 'aws.cfg'라는 다른 두 파일은 감염 프로세스를 시작하는 촉매제 역할을 합니다. 특히 'AmazonVNC.exe'는 'version.dll'을 로드하는 데 사용되며, 이는 IExpress.exe 프로세스를 생성하고 'aws.cfg'에 저장된 페이로드를 주입합니다.

복잡한 다단계 공격 체인이 손상된 장치를 감염시킵니다.

페이로드는 대리석 및 화강암 가공을 전문으로 하는 이탈리아 회사의 손상된 웹사이트로 의심되는 C2 도메인('henraux.com')에서 쉘코드를 검색하도록 설계되었습니다.

쉘코드의 정확한 목적은 아직 불분명하지만, 이는 RollSling이라는 후속 단계 악성코드를 획득하고 실행하도록 설계된 DLL 기반 로더인 RollFling을 시작하는 데 사용되는 것으로 알려졌습니다. 이전에 Microsoft가 중요한 JetBrains TeamCity 취약점(CVE-2023-42793)을 악용하는 Lazarus Group 캠페인에서 식별한 RollSling은 보안 도구의 탐지를 피하기 위해 메모리에서 직접 실행되며, 이는 감염 프로세스의 다음 단계를 나타냅니다.

그런 다음 또 다른 로더인 RollMid가 메모리에 배포되어 공격을 준비하고 일련의 단계를 통해 C2 서버와 통신을 설정하는 임무를 맡습니다.

• 첫 번째 C2 서버에 접속하여 두 번째 C2 서버의 주소가 포함된 HTML 파일을 검색합니다.

• 두 번째 C2 서버와 통신하여 스테가노그래피를 통해 숨겨진 유해 구성 요소가 포함된 PNG 이미지를 검색합니다.

• 이미지 내 숨겨진 주소를 이용하여 제3의 C2 서버로 데이터를 전송합니다.

• Kaolin RAT가 포함된 세 번째 C2 서버에서 추가 Base64로 인코딩된 데이터 Blob을 가져옵니다.

Lazarus Group은 Kaolin RAT 공격에서 상당한 정교함을 보여줍니다.

다단계 시퀀스 뒤에 숨은 기술적 정교함은 의심할 여지없이 복잡하고 복잡하지만 과잉에 가깝습니다. 연구원들은 Kaolin RAT가 RAT의 C2 서버와의 통신을 설정한 후 FudModule 루트킷 배포를 위한 길을 열어준다고 믿습니다.

또한 이 악성코드는 파일 열거, 파일 작업 수행, C2 서버에 파일 업로드, 파일의 마지막 수정 타임스탬프 변경, 프로세스 열거, 생성 및 종료, cmd.exe를 사용하여 명령 실행, DLL 파일 다운로드 등의 작업을 수행합니다. C2 서버를 선택하고 임의의 호스트에 연결합니다.

Lazarus 그룹은 조작된 채용 제안을 통해 개인을 표적으로 삼았고 보안 제품을 우회하면서 더 나은 지속성을 달성하기 위해 정교한 도구 세트를 사용했습니다. 이러한 복잡한 공격 체인을 개발하는 데 상당한 자원을 투자했다는 것은 분명합니다. 확실한 것은 Lazarus가 Windows 완화 및 보안 제품의 다양한 측면을 연구하기 위해 지속적으로 혁신하고 막대한 리소스를 할당해야 했다는 것입니다. 적응하고 발전하는 능력은 사이버 보안 노력에 중요한 과제를 제기합니다.