Kaolin RAT
Lazarus Group, організація кіберзагроз, пов’язана з Північною Кореєю, використовувала знайомі пастки, пов’язані з роботою, для розповсюдження нового трояна віддаленого доступу (RAT) під назвою Kaolin RAT під час цілеспрямованих атак на конкретних осіб в регіоні Азії влітку 2023 року.
Це зловмисне програмне забезпечення, окрім типових функцій RAT, мало здатність змінювати позначку часу останнього запису вибраного файлу та завантажувати будь-який наданий двійковий файл DLL із сервера командування та керування (C2). RAT служив шлюзом для розгортання руткіта FudModule, який нещодавно спостерігався за допомогою експлойту адміністратора до ядра в драйвері appid.sys (CVE-2024-21338), щоб отримати можливість читання/запису ядра та згодом вимкнути заходи безпеки .
Зміст
Фальшиві пропозиції роботи використовуються як приманка для розгортання Kaolin RAT
Використання Lazarus Group приманок для пропозицій роботи для проникнення в цілі є постійною стратегією. Ця давня кампанія, відома як Operation Dream Job, використовує різні соціальні медіа та платформи обміну миттєвими повідомленнями для розповсюдження шкідливого програмного забезпечення.
У цій схемі початковий доступ отримується шляхом обману цілей, щоб відкрити небезпечний файл образу оптичного диска (ISO), який містить три файли. Один із цих файлів видається за клієнт Amazon VNC («AmazonVNC.exe»), але насправді є перейменованою версією законної програми Windows під назвою «choice.exe». Інші два файли з назвами «version.dll» і «aws.cfg» служать каталізаторами для ініціювання процесу зараження. Зокрема, «AmazonVNC.exe» використовується для завантаження «version.dll», який потім породжує процес IExpress.exe та вводить корисне навантаження, що зберігається в «aws.cfg».
Складний багатоетапний ланцюжок атак заражає скомпрометовані пристрої
Корисне навантаження створено для отримання шелл-коду з домену C2 ('henraux.com'), який, ймовірно, є скомпрометованим веб-сайтом італійської компанії, що спеціалізується на обробці мармуру та граніту.
Хоча точне призначення шелл-коду залишається незрозумілим, повідомляється, що він використовується для ініціювання RollFling, завантажувача на основі DLL, призначеного для отримання та запуску наступного етапу зловмисного програмного забезпечення під назвою RollSling. RollSling, раніше ідентифікований корпорацією Майкрософт у кампанії Lazarus Group, що використовує критичну вразливість JetBrains TeamCity (CVE-2023-42793), виконується безпосередньо в пам’яті, щоб уникнути виявлення інструментами безпеки, що представляє наступний етап процесу зараження.
RollMid, інший завантажувач, потім розгортається в пам’яті, йому доручено підготуватися до атаки та встановити зв’язок із сервером C2 за допомогою ряду кроків:
- Зверніться до першого сервера C2, щоб отримати файл HTML, що містить адресу другого сервера C2.
- Зв’яжіться з другим сервером C2, щоб отримати зображення PNG, яке містить шкідливий компонент, прихований за допомогою стеганографії.
- Передайте дані на третій сервер C2, використовуючи приховану адресу із зображення.
- Отримайте додаткову blob даних у кодуванні Base64 із третього сервера C2, який містить Kaolin RAT.
Група Lazarus продемонструвала значну витонченість під час атаки на Каолін RAT
Технічна витонченість багатоетапної послідовності, хоч, безсумнівно, складна і заплутана, межує з надмірністю. Дослідники вважають, що Kaolin RAT прокладає шлях для розгортання руткіта FudModule після встановлення зв’язку з сервером C2 RAT.
Крім того, зловмисне програмне забезпечення може нумерувати файли, виконувати операції з файлами, завантажувати файли на сервер C2, змінювати мітку часу останньої зміни файлу, нумерувати, створювати та завершувати процеси, виконувати команди за допомогою cmd.exe, завантажувати DLL-файли з сервер C2 і підключіться до довільного хосту.
Група Lazarus націлювалася на окремих людей через сфабриковані пропозиції про роботу та використовувала складний набір інструментів для досягнення кращої стійкості в обхід продуктів безпеки. Очевидно, що вони вклали значні ресурси в розробку такого складного ланцюжка атак. Безсумнівним є те, що Lazarus доводилося постійно впроваджувати інновації та виділяти величезні ресурси для дослідження різних аспектів засобів пом’якшення й безпеки Windows. Їхня здатність адаптуватися та розвиватися створює серйозну проблему для зусиль у сфері кібербезпеки.