Kaolin RAT

Kumpulan Lazarus, entiti ancaman siber yang dikaitkan dengan Korea Utara, menggunakan perangkap berkaitan pekerjaan yang biasa digunakan untuk mengedarkan Trojan Akses Jauh (RAT) baharu bernama Kaolin RAT semasa serangan yang disasarkan ke atas individu tertentu di rantau Asia pada musim panas 2023.

Perisian hasad ini, sebagai tambahan kepada fungsi RAT biasa, mempunyai keupayaan untuk mengubah suai cap masa tulis terakhir bagi fail yang dipilih dan memuatkan sebarang perduaan DLL yang disediakan daripada pelayan Perintah-dan-Kawalan (C2). RAT berfungsi sebagai pintu masuk untuk menggunakan rootkit FudModule, yang baru-baru ini diperhatikan menggunakan eksploitasi admin-ke-kernel dalam pemacu appid.sys (CVE-2024-21338) untuk mendapatkan keupayaan baca/tulis kernel dan kemudiannya melumpuhkan langkah keselamatan .

Tawaran Pekerjaan Palsu Digunakan sebagai Gewang untuk Menggunakan RAT Kaolin

Penggunaan umpan tawaran kerja Kumpulan Lazarus untuk sasaran yang menyusup adalah strategi yang berulang. Dikenali sebagai Operation Dream Job, kempen lama ini menggunakan pelbagai media sosial dan platform pemesejan segera untuk mengedarkan perisian hasad.

Dalam skim ini, akses awal diperoleh dengan memperdaya sasaran untuk membuka fail Imej Cakera Optik (ISO) yang tidak selamat yang mengandungi tiga fail. Salah satu daripada fail ini menyamar sebagai pelanggan Amazon VNC ('AmazonVNC.exe') tetapi sebenarnya versi yang dinamakan semula bagi aplikasi Windows yang sah dipanggil 'choice.exe.' Dua fail lain, bernama 'version.dll' dan 'aws.cfg,' berfungsi sebagai pemangkin untuk memulakan proses jangkitan. Khususnya, 'AmazonVNC.exe' digunakan untuk memuatkan 'version.dll,' yang kemudiannya menghasilkan proses IExpress.exe dan menyuntik muatan yang disimpan dalam 'aws.cfg.'

Rantaian Serangan Berbilang Peringkat Kompleks Menjangkiti Peranti Yang Dikompromi

Muatan ini direka bentuk untuk mendapatkan shellcode daripada domain C2 ('henraux.com'), yang disyaki sebagai tapak web yang terjejas oleh syarikat Itali yang pakar dalam pemprosesan marmar dan granit.

Walaupun tujuan sebenar shellcode masih tidak jelas, ia dilaporkan digunakan untuk memulakan RollFling, pemuat berasaskan DLL yang direka untuk mendapatkan dan melaksanakan perisian hasad peringkat seterusnya yang dipanggil RollSling. RollSling, yang sebelum ini dikenal pasti oleh Microsoft dalam kempen Kumpulan Lazarus yang mengeksploitasi kerentanan JetBrains TeamCity (CVE-2023-42793) yang kritikal, dilaksanakan secara langsung dalam ingatan untuk mengelakkan pengesanan oleh alat keselamatan, mewakili fasa seterusnya proses jangkitan.

RollMid, pemuat lain, kemudiannya digunakan dalam ingatan, ditugaskan untuk menyediakan serangan dan mewujudkan komunikasi dengan pelayan C2 melalui satu siri langkah:

• Hubungi pelayan C2 pertama untuk mendapatkan semula fail HTML yang mengandungi alamat pelayan C2 kedua.

• Berkomunikasi dengan pelayan C2 kedua untuk mendapatkan semula imej PNG yang mengandungi komponen berbahaya yang disembunyikan menggunakan steganografi.

• Hantar data ke pelayan C2 ketiga menggunakan alamat tersembunyi dari dalam imej.

• Ambil gumpalan data berkod Base64 tambahan daripada pelayan C2 ketiga, yang mengandungi RAT Kaolin.

Kumpulan Lazarus Mempamerkan Kecanggihan Ketara dalam Serangan RAT Kaolin

Kecanggihan teknikal di sebalik jujukan berbilang peringkat, walaupun tidak syak lagi rumit dan rumit, bersempadan dengan keterlaluan. Penyelidik percaya bahawa RAT Kaolin membuka jalan untuk penggunaan kit akar FudModule selepas menyediakan komunikasi dengan pelayan C2 RAT.

Di samping itu, perisian hasad dilengkapi untuk menghitung fail, menjalankan operasi fail, memuat naik fail ke pelayan C2, mengubah cap waktu terakhir fail yang diubah suai, menghitung, mencipta dan menamatkan proses, melaksanakan arahan menggunakan cmd.exe, memuat turun fail DLL dari Pelayan C2, dan sambung ke hos sewenang-wenangnya.

Kumpulan Lazarus menyasarkan individu melalui tawaran kerja rekaan dan menggunakan set alat yang canggih untuk mencapai kegigihan yang lebih baik sambil memintas produk keselamatan. Jelas sekali bahawa mereka melaburkan sumber yang besar dalam membangunkan rantaian serangan yang begitu kompleks. Apa yang pasti ialah Lazarus terpaksa berinovasi secara berterusan dan memperuntukkan sumber yang besar untuk menyelidik pelbagai aspek produk tebatan dan keselamatan Windows. Keupayaan mereka untuk menyesuaikan diri dan berkembang menimbulkan cabaran besar kepada usaha keselamatan siber.