Kaolin RAT

Grupul Lazarus, o entitate de amenințare cibernetică legată de Coreea de Nord, a folosit capcane familiare legate de muncă pentru a distribui un nou troian de acces la distanță (RAT) numit Kaolin RAT în timpul atacurilor direcționate asupra anumitor persoane din regiunea Asia, în vara anului 2023.

Acest malware, în plus față de funcționalitățile tipice RAT, a avut capacitatea de a modifica ultima ștampilă de scriere a unui fișier ales și de a încărca orice fișier binar DLL furnizat de pe un server Command-and-Control (C2). RAT a servit drept gateway pentru implementarea rootkit-ului FudModule, care a fost observat recent folosind un exploit de la admin-to-kernel în driverul appid.sys (CVE-2024-21338) pentru a obține o capacitate de citire/scriere a nucleului și, ulterior, pentru a dezactiva măsurile de securitate. .

Oferte de locuri de muncă false utilizate ca momeli pentru desfășurarea caolinului RAT

Utilizarea de către Grupul Lazarus a momelilor pentru oferta de muncă pentru infiltrarea țintelor este o strategie recurentă. Cunoscută ca Operation Dream Job, această campanie de lungă durată folosește diverse rețele sociale și platforme de mesagerie instantanee pentru a distribui malware.

În această schemă, accesul inițial este obținut prin înșelarea țintelor pentru a deschide un fișier ISO (Imagine de disc optic) nesigur, care conține trei fișiere. Unul dintre aceste fișiere se prezintă ca un client Amazon VNC („AmazonVNC.exe”), dar este de fapt o versiune redenumită a unei aplicații Windows legitime numită „choice.exe”. Celelalte două fișiere, denumite „version.dll” și „aws.cfg”, servesc drept catalizatori pentru a iniția procesul de infecție. Mai exact, „AmazonVNC.exe” este folosit pentru a încărca „version.dll”, care apoi generează un proces IExpress.exe și injectează o sarcină utilă stocată în „aws.cfg”.

Un lanț complex de atac în mai multe etape infectează dispozitivele compromise

Sarcina utilă este proiectată pentru a prelua codul shell de pe un domeniu C2 („henraux.com”), suspectat a fi un site web compromis al unei companii italiene specializată în prelucrarea marmurei și granitului.

Deși scopul exact al shellcode-ului rămâne neclar, se pare că este folosit pentru a iniția RollFling, un încărcător bazat pe DLL, conceput pentru a obține și executa malware-ul din etapa ulterioară numit RollSling. RollSling, identificat anterior de Microsoft într-o campanie Lazarus Group care exploatează o vulnerabilitate critică JetBrains TeamCity (CVE-2023-42793), este executat direct în memorie pentru a evita detectarea de către instrumentele de securitate, reprezentând următoarea fază a procesului de infecție.

RollMid, un alt încărcător, este apoi implementat în memorie, însărcinat să pregătească atacul și să stabilească comunicarea cu un server C2 printr-o serie de pași:

• Contactați primul server C2 pentru a prelua un fișier HTML care conține adresa celui de-al doilea server C2.

• Comunicați cu al doilea server C2 pentru a prelua o imagine PNG care conține o componentă dăunătoare ascunsă folosind steganografie.

• Transmiteți date către al treilea server C2 folosind adresa ascunsă din interiorul imaginii.

• Preluați un blob de date codificat Base64 suplimentar de la al treilea server C2, care conține Kaolin RAT.

Grupul Lazarus prezintă o sofisticare semnificativă în atacul Kaolin RAT

Rafinamentul tehnic din spatele secvenței în mai multe etape, deși fără îndoială complexă și complicată, se limitează la exagerare. Cercetătorii cred că Kaolin RAT deschide calea pentru implementarea rootkit-ului FudModule după configurarea comunicațiilor cu serverul C2 al RAT.

În plus, malware-ul este echipat să enumere fișiere, să efectueze operațiuni cu fișiere, să încarce fișiere pe serverul C2, să modifice marcajul temporal al ultimului fișier modificat, să enumere, să creeze și să încheie procese, să execute comenzi folosind cmd.exe, să descarce fișiere DLL din server C2 și conectați-vă la o gazdă arbitrară.

Grupul Lazarus a vizat indivizi prin oferte de locuri de muncă fabricate și a folosit un set de instrumente sofisticate pentru a obține o persistență mai bună, ocolind produsele de securitate. Este evident că au investit resurse semnificative în dezvoltarea unui lanț de atac atât de complex. Cert este că Lazarus a trebuit să inoveze continuu și să aloce resurse enorme pentru a cerceta diverse aspecte ale atenuărilor Windows și ale produselor de securitate. Capacitatea lor de a se adapta și de a evolua reprezintă o provocare semnificativă pentru eforturile de securitate cibernetică.