Kaolin RAT
O Grupo Lazarus, uma entidade de ameaça cibernética ligada à Coreia do Norte, utilizou armadilhas familiares relacionadas com o trabalho para distribuir um novo Trojan de aAcesso R\emoto (RAT) denominado Kaolin RAT durante ataques direcionados a indivíduos específicos na região da Ásia no verão de 2023.
Este malware, além das funcionalidades típicas do RAT, tinha a capacidade de modificar o carimbo de data/hora da última gravação de um arquivo escolhido e carregar qualquer binário DLL fornecido de um servidor de Comando e Controle (C2). O RAT serviu como uma porta de entrada para implantar o rootkit FudModule, que foi recentemente observado usando uma exploração de administrador para kernel no driver appid.sys (CVE-2024-21338) para obter capacidade de leitura/gravação do kernel e subsequentemente desabilitar medidas de segurança .
Índice
Falsas Ofertas de Emprego Utilizadas como Iscas para a Implantação do Kaolin RAT
A utilização de iscas de ofertas de emprego pelo Grupo Lazarus para infiltração de alvos é uma estratégia recorrente. Conhecida como Operação Dream Job, esta campanha de longa data utiliza várias redes sociais e plataformas de mensagens instantâneas para distribuir malware.
Neste esquema, o acesso inicial é obtido enganando os alvos para que abram um arquivo de imagem de disco óptico (ISO) inseguro contendo três arquivos. Um desses arquivos se apresenta como um cliente Amazon VNC ('AmazonVNC.exe'), mas na verdade é uma versão renomeada de um aplicativo legítimo do Windows chamado 'choice.exe'. Os outros dois arquivos, chamados 'version.dll' e 'aws.cfg', servem como catalisadores para iniciar o processo de infecção. Especificamente, 'AmazonVNC.exe' é usado para carregar 'version.dll', que então gera um processo IExpress.exe e injeta uma carga útil armazenada em 'aws.cfg'.
Uma Complexa Cadeia de Ataque em Vários Estágios Infecta os Dispositivos Visados
A carga útil foi projetada para recuperar o código shell de um domínio C2 ('henraux.com'), suspeito de ser um site comprometido de uma empresa italiana especializada em processamento de mármore e granito.
Embora o propósito exato do shellcode ainda não esteja claro, ele é supostamente usado para iniciar o RollFling, um carregador baseado em DLL projetado para obter e executar o malware de estágio subsequente chamado RollSling. RollSling, previamente identificado pela Microsoft em uma campanha do Lazarus Group explorando uma vulnerabilidade crítica do JetBrains TeamCity (CVE-2023-42793), é executado diretamente na memória para evitar a detecção por ferramentas de segurança, representando a próxima fase do processo de infecção.
RollMid, outro carregador, é então implantado na memória, com a tarefa de se preparar para o ataque e estabelecer comunicação com um servidor C2 por meio de uma série de etapas:
- Entre em contato com o primeiro servidor C2 para recuperar um arquivo HTML contendo o endereço do segundo servidor C2.
- Comunique-se com o segundo servidor C2 para recuperar uma imagem PNG contendo um componente prejudicial oculto por esteganografia.
- Transmita dados para o terceiro servidor C2 usando o endereço oculto na imagem.
- Busque um blob de dados codificado em Base64 adicional do terceiro servidor C2, que contém o Kaolin RAT.
O Grupo Lazarus Exibe uma Sofisticação Significativa no Ataque do Kaolin RAT
A sofisticação técnica por trás da sequência de vários estágios, embora sem dúvida complexa e intrincada, beira o exagero. Os pesquisadores acreditam que o Kaolin RAT abre o caminho para a implantação do rootkit FudModule após estabelecer comunicações com o servidor C2 do RAT.
Além disso, o malware está equipado para enumerar arquivos, realizar operações de arquivo, fazer upload de arquivos para o servidor C2, alterar o carimbo de data e hora da última modificação de um arquivo, enumerar, criar e encerrar processos, executar comandos usando cmd.exe, baixar arquivos DLL do Servidor C2 e conecte-se a um host arbitrário.
O grupo Lazarus tinha como alvo indivíduos através de ofertas de emprego fabricadas e empregou um conjunto de ferramentas sofisticado para obter melhor persistência e, ao mesmo tempo, contornar produtos de segurança. É evidente que investiram recursos significativos no desenvolvimento de uma cadeia de ataque tão complexa. O certo é que a Lazarus teve que inovar continuamente e alocar enormes recursos para pesquisar vários aspectos das mitigações e produtos de segurança do Windows. A sua capacidade de adaptação e evolução representa um desafio significativo aos esforços de segurança cibernética.