Kaolin RAT
Lazarus Group, entitet za kibernetičku prijetnju povezan sa Sjevernom Korejom, koristio je poznate zamke povezane s poslom za distribuciju novog trojanca s daljinskim pristupom (RAT) pod nazivom Kaolin RAT tijekom ciljanih napada na određene pojedince u azijskoj regiji u ljeto 2023. godine.
Ovaj zlonamjerni softver, uz tipične RAT funkcionalnosti, imao je mogućnost modificiranja zadnje vremenske oznake pisanja odabrane datoteke i učitavanja bilo koje ponuđene DLL binarne datoteke s Command-and-Control (C2) poslužitelja. RAT je služio kao pristupnik za implementaciju FudModule rootkita, koji je nedavno primijećen korištenjem admin-to-kernel exploit-a u appid.sys drajveru (CVE-2024-21338) kako bi se dobila mogućnost čitanja/pisanja kernela i naknadno onemogućile sigurnosne mjere .
Sadržaj
Lažne ponude za posao korištene kao mamci za raspoređivanje Kaolin RAT-a
Korištenje mamaca ponude poslova za infiltriranje ciljeva grupe Lazarus strategija je koja se stalno ponavlja. Poznata kao Operacija Posao iz snova, ova dugogodišnja kampanja koristi različite društvene medije i platforme za razmjenu trenutnih poruka za distribuciju zlonamjernog softvera.
U ovoj se shemi inicijalni pristup dobiva prevarom cilja da otvori nesigurnu datoteku slike optičkog diska (ISO) koja sadrži tri datoteke. Jedna od ovih datoteka predstavlja se kao Amazon VNC klijent ('AmazonVNC.exe'), ali je zapravo preimenovana verzija legitimne Windows aplikacije pod nazivom 'choice.exe'. Druge dvije datoteke pod nazivom 'version.dll' i 'aws.cfg' služe kao katalizatori za pokretanje procesa infekcije. Konkretno, 'AmazonVNC.exe' se koristi za učitavanje 'version.dll', koji potom pokreće proces IExpress.exe i ubacuje sadržaj pohranjen unutar 'aws.cfg'.
Složeni višefazni lanac napada inficira kompromitirane uređaje
Korisni teret dizajniran je za dohvaćanje shellcodea s domene C2 ('henraux.com'), za koju se sumnja da je kompromitirana web stranica talijanske tvrtke specijalizirane za obradu mramora i granita.
Iako točna svrha shellcodea ostaje nejasna, on se navodno koristi za pokretanje RollFlinga, učitavača temeljenog na DLL-u dizajniranog za dobivanje i izvođenje malwarea u kasnijoj fazi pod nazivom RollSling. RollSling, kojeg je Microsoft prethodno identificirao u kampanji Lazarus Group koja iskorištava kritičnu ranjivost JetBrains TeamCity (CVE-2023-42793), izvršava se izravno u memoriji kako bi se izbjeglo otkrivanje sigurnosnim alatima, što predstavlja sljedeću fazu procesa infekcije.
RollMid, još jedan učitavač, zatim se postavlja u memoriju, ima zadatak da se pripremi za napad i uspostavi komunikaciju s C2 poslužiteljem kroz niz koraka:
- Obratite se prvom C2 poslužitelju da dohvatite HTML datoteku koja sadrži adresu drugog C2 poslužitelja.
Grupa Lazarus pokazala je značajnu sofisticiranost u napadu Kaolin RAT-a
Tehnička sofisticiranost koja stoji iza sekvence u više faza, iako bez sumnje složena i zamršena, graniči s pretjeranošću. Istraživači vjeruju da Kaolin RAT otvara put za implementaciju FudModule rootkita nakon uspostavljanja komunikacije s RAT-ovim C2 poslužiteljem.
Uz to, zlonamjerni je softver opremljen za nabrajanje datoteka, izvođenje operacija s datotekama, učitavanje datoteka na C2 poslužitelj, izmjenu zadnje modificirane vremenske oznake datoteke, nabrajanje, stvaranje i prekid procesa, izvršavanje naredbi pomoću cmd.exe, preuzimanje DLL datoteka s C2 poslužitelj i spojite se na proizvoljno računalo.
Grupa Lazarus ciljala je na pojedince putem izmišljenih ponuda za posao i koristila je sofisticirani skup alata kako bi postigla bolju postojanost zaobilazeći sigurnosne proizvode. Evidentno je da su u razvoj tako složenog lanca napada uložili značajna sredstva. Ono što je sigurno jest da je Lazarus morao kontinuirano inovirati i izdvajati ogromne resurse za istraživanje različitih aspekata ublažavanja opasnosti i sigurnosnih proizvoda sustava Windows. Njihova sposobnost prilagodbe i razvoja predstavlja značajan izazov naporima u području kibernetičke sigurnosti.
