Kaolin RAT

Лазарус Гроуп, ентитет сајбер претњи повезан са Северном Корејом, користио је познате замке везане за посао да дистрибуира нови тројанац за даљински приступ (РАТ) под називом Каолин РАТ током циљаних напада на одређене појединце у региону Азије у лето 2023.

Овај злонамерни софтвер, поред типичних РАТ функционалности, имао је могућност да модификује последњу временску ознаку писања изабране датотеке и учита било коју дату ДЛЛ бинарну датотеку са сервера за команду и контролу (Ц2). РАТ је служио као капија за примену ФудМодуле рооткита, који је недавно примећен коришћењем админ-то-кернел експлоатације у драјверу аппид.сис (ЦВЕ-2024-21338) да би се добила могућност читања/писања језгра и касније онемогућавање безбедносних мера .

Лажне понуде за посао које се користе као мамац за постављање Каолин РАТ-а

Коришћење мамаца за понуду посла од стране Лазарус групе за инфилтрирање циљева је стратегија која се понавља. Позната као Оператион Дреам Јоб, ова дугогодишња кампања користи различите друштвене медије и платформе за размену тренутних порука за дистрибуцију малвера.

У овој шеми, почетни приступ се добија обманом циљева да отворе небезбедну слику оптичког диска (ИСО) која садржи три датотеке. Једна од ових датотека представља се као Амазон ВНЦ клијент („АмазонВНЦ.еке“), али је заправо преименована верзија легитимне Виндовс апликације под називом „цхоице.еке“. Друге две датотеке, назване 'версион.длл' и 'авс.цфг', служе као катализатори за покретање процеса инфекције. Конкретно, 'АмазонВНЦ.еке' се користи за учитавање 'версион.длл', који затим покреће процес ИЕкпресс.еке и убацује корисни терет ускладиштен у 'авс.цфг'.

Сложени вишестепени ланац напада инфицира компромитоване уређаје

Корисни терет је пројектован да преузме схеллцоде са Ц2 домена ('хенраук.цом'), за који се сумња да је компромитована веб локација италијанске компаније специјализоване за обраду мермера и гранита.

Иако је тачна сврха схелл кода и даље нејасна, он се наводно користи за покретање РоллФлинг-а, учитавача заснованог на ДЛЛ-у који је дизајниран да добије и изврши малвер у наредној фази под називом РоллСлинг. РоллСлинг, који је Мицрософт претходно идентификовао у кампањи Лазарус групе која искоришћава критичну рањивост ЈетБраинс ТеамЦити-а (ЦВЕ-2023-42793), извршава се директно у меморији да би се избегло откривање безбедносним алатима, што представља следећу фазу процеса инфекције.

РоллМид, још један учитавач, се затим поставља у меморију, задужен за припрему за напад и успостављање комуникације са Ц2 сервером кроз низ корака:

• Контактирајте први Ц2 сервер да бисте преузели ХТМЛ датотеку која садржи адресу другог Ц2 сервера.

• Комуницирајте са другим Ц2 сервером да бисте преузели ПНГ слику која садржи штетну компоненту сакривену стеганографијом.

• Пренесите податке на трећи Ц2 сервер користећи скривену адресу унутар слике.

• Преузмите додатни блоб података кодиран у Басе64 са трећег Ц2 сервера, који садржи Каолин РАТ.

Група Лазарус показује значајну софистицираност у нападу каолинским пацовима

Техничка софистицираност иза вишестепене секвенце, иако је без сумње сложена и замршена, граничи се са претераним напорима. Истраживачи верују да Каолин РАТ отвара пут за примену ФудМодуле рооткита након постављања комуникације са РАТ-овим Ц2 сервером.

Поред тога, злонамерни софтвер је опремљен да набраја датотеке, извршава операције са датотекама, отпрема датотеке на Ц2 сервер, мења последњу модификовану временску ознаку датотеке, набраја, креира и прекида процесе, извршава команде помоћу цмд.еке, преузима ДЛЛ датотеке са Ц2 сервер и повежите се са произвољним хостом.

Лазарус група је циљала појединце кроз измишљене понуде за посао и користила софистицирани скуп алата како би постигла бољу упорност уз заобилажење сигурносних производа. Евидентно је да су уложили значајна средства у развој овако сложеног ланца напада. Оно што је извесно јесте да је Лазарус морао да континуирано иновира и издваја огромне ресурсе за истраживање различитих аспеката ублажавања и безбедносних производа Виндовс-а. Њихова способност да се прилагоде и еволуирају представља значајан изазов за напоре у области сајбер безбедности.