Kaolin RAT

லாசரஸ் குழு, வட கொரியாவுடன் இணைக்கப்பட்ட இணைய அச்சுறுத்தல் நிறுவனமானது, 2023 ஆம் ஆண்டு கோடையில் ஆசியா பிராந்தியத்தில் குறிப்பிட்ட நபர்கள் மீது இலக்கு வைக்கப்பட்ட தாக்குதல்களின் போது Kaolin RAT என பெயரிடப்பட்ட புதிய தொலைநிலை அணுகல் ட்ரோஜனை (RAT) விநியோகிக்க பழக்கமான வேலை தொடர்பான பொறிகளைப் பயன்படுத்தியது.

இந்த மால்வேர், வழக்கமான RAT செயல்பாடுகளுக்கு கூடுதலாக, தேர்ந்தெடுக்கப்பட்ட கோப்பின் கடைசி எழுதும் நேர முத்திரையை மாற்றியமைக்கும் மற்றும் கட்டளை-மற்றும்-கட்டுப்பாட்டு (C2) சேவையகத்திலிருந்து வழங்கப்பட்ட எந்த DLL பைனரியையும் ஏற்றும் திறனைக் கொண்டுள்ளது. FudModule ரூட்கிட்டைப் பயன்படுத்துவதற்கு RAT ஒரு நுழைவாயிலாகச் செயல்பட்டது, இது சமீபத்தில் appid.sys இயக்கியில் (CVE-2024-21338) நிர்வாகி-க்கு-கர்னல் சுரண்டலைப் பயன்படுத்தி ஒரு கர்னலைப் படிக்க/எழுதும் திறனைப் பெறவும், அதன்பின் பாதுகாப்பு நடவடிக்கைகளை முடக்கவும் பயன்படுத்தப்பட்டது. .

கயோலின் RAT ஐப் பயன்படுத்துவதற்கான கவர்ச்சியாகப் பயன்படுத்தப்படும் போலி வேலை வாய்ப்புகள்

லாசரஸ் குழுவின் வேலை வாய்ப்பு தூண்டில்களை ஊடுருவும் இலக்குகளுக்குப் பயன்படுத்துவது ஒரு தொடர்ச்சியான உத்தியாகும். ஆபரேஷன் ட்ரீம் ஜாப் என அழைக்கப்படும், இந்த நீண்டகால பிரச்சாரம் தீம்பொருளை விநியோகிக்க பல்வேறு சமூக ஊடகங்கள் மற்றும் உடனடி செய்தி தளங்களைப் பயன்படுத்துகிறது.

இந்தத் திட்டத்தில், மூன்று கோப்புகளைக் கொண்ட பாதுகாப்பற்ற ஆப்டிகல் டிஸ்க் இமேஜ் (ஐஎஸ்ஓ) கோப்பைத் திறக்க இலக்குகளை ஏமாற்றுவதன் மூலம் ஆரம்ப அணுகல் பெறப்படுகிறது. இந்தக் கோப்புகளில் ஒன்று அமேசான் VNC கிளையண்ட்டாக ('AmazonVNC.exe') தோற்றமளிக்கிறது, ஆனால் இது 'choice.exe' எனப்படும் முறையான Windows பயன்பாட்டின் மறுபெயரிடப்பட்ட பதிப்பாகும். 'version.dll' மற்றும் 'aws.cfg' என பெயரிடப்பட்ட மற்ற இரண்டு கோப்புகள் தொற்று செயல்முறையைத் தொடங்க வினையூக்கிகளாகச் செயல்படுகின்றன. குறிப்பாக, 'version.dll' ஐ ஏற்றுவதற்கு 'AmazonVNC.exe' பயன்படுத்தப்படுகிறது, இது ஒரு IExpress.exe செயல்முறையை உருவாக்கி, 'aws.cfg.' இல் சேமிக்கப்பட்ட பேலோடை செலுத்துகிறது.

ஒரு சிக்கலான பல-நிலை தாக்குதல் சங்கிலி சமரசம் செய்யப்பட்ட சாதனங்களை பாதிக்கிறது

பளிங்கு மற்றும் கிரானைட் செயலாக்கத்தில் நிபுணத்துவம் பெற்ற இத்தாலிய நிறுவனத்தின் சமரசம் செய்யப்பட்ட இணையதளம் என சந்தேகிக்கப்படும், C2 டொமைனில் ('henraux.com') ஷெல்கோடைப் பெறுவதற்காக பேலோட் வடிவமைக்கப்பட்டுள்ளது.

ஷெல்கோடின் சரியான நோக்கம் தெளிவாக இல்லை என்றாலும், ரோல்ஸ்லிங் எனப்படும் அடுத்தடுத்த-நிலை மால்வேரைப் பெறுவதற்கும் செயல்படுத்துவதற்கும் வடிவமைக்கப்பட்ட டிஎல்எல்-அடிப்படையிலான ஏற்றியான ரோல்ஃப்ளிங்கைத் தொடங்க இது பயன்படுத்தப்படுகிறது. ரோல்ஸ்லிங், லாசரஸ் குழுவின் பிரச்சாரத்தில் மைக்ரோசாப்ட் முன்பு அடையாளம் காணப்பட்டது, இது முக்கியமான JetBrains TeamCity பாதிப்பை (CVE-2023-42793) பயன்படுத்திக் கொள்ளும், பாதுகாப்பு கருவிகள் மூலம் கண்டறிவதைத் தவிர்க்க நினைவகத்தில் நேரடியாக செயல்படுத்தப்படுகிறது, இது தொற்று செயல்முறையின் அடுத்த கட்டத்தைக் குறிக்கிறது.

RollMid, மற்றொரு ஏற்றி, நினைவகத்தில் பயன்படுத்தப்படுகிறது, தாக்குதலுக்குத் தயாராகிறது மற்றும் தொடர்ச்சியான படிகள் மூலம் C2 சேவையகத்துடன் தொடர்பை ஏற்படுத்துகிறது:

• இரண்டாவது C2 சேவையகத்தின் முகவரியைக் கொண்ட HTML கோப்பை மீட்டெடுக்க முதல் C2 சேவையகத்தைத் தொடர்புகொள்ளவும்.

• ஸ்டெகானோகிராஃபியைப் பயன்படுத்தி மறைக்கப்பட்ட தீங்கு விளைவிக்கும் கூறுகளைக் கொண்ட PNG படத்தை மீட்டெடுக்க இரண்டாவது C2 சேவையகத்துடன் தொடர்பு கொள்ளவும்.

• படத்தில் உள்ள மறைக்கப்பட்ட முகவரியைப் பயன்படுத்தி மூன்றாவது C2 சேவையகத்திற்கு தரவை அனுப்பவும்.

• மூன்றாவது C2 சேவையகத்திலிருந்து கூடுதல் Base64-குறியீடு செய்யப்பட்ட டேட்டா ப்ளாப்பைப் பெறவும், அதில் Kaolin RAT உள்ளது.

கயோலின் ரேட் தாக்குதலில் லாசரஸ் குழு குறிப்பிடத்தக்க நுட்பத்தை வெளிப்படுத்துகிறது

பல-நிலை வரிசையின் பின்னால் உள்ள தொழில்நுட்ப நுட்பம், சந்தேகத்திற்கு இடமின்றி சிக்கலான மற்றும் சிக்கலானது, மிகைப்படுத்தலின் எல்லைகள். RAT இன் C2 சேவையகத்துடன் தகவல்தொடர்புகளை அமைத்த பிறகு, கயோலின் RAT FudModule ரூட்கிட்டைப் பயன்படுத்துவதற்கு வழி வகுக்கும் என்று ஆராய்ச்சியாளர்கள் நம்புகின்றனர்.

கூடுதலாக, தீம்பொருள் கோப்புகளைக் கணக்கிடுவதற்கும், கோப்பு செயல்பாடுகளைச் செய்வதற்கும், கோப்புகளை C2 சேவையகத்தில் பதிவேற்றுவதற்கும், கோப்பின் கடைசியாக மாற்றியமைக்கப்பட்ட நேர முத்திரையை மாற்றுவதற்கும், கணக்கீடு செய்வதற்கும், உருவாக்குவதற்கும், செயல்முறைகளை நிறுத்துவதற்கும், cmd.exe ஐப் பயன்படுத்தி கட்டளைகளை இயக்குவதற்கும், DLL கோப்புகளைப் பதிவிறக்குவதற்கும் பொருத்தப்பட்டுள்ளது. C2 சேவையகம், மற்றும் தன்னிச்சையான ஹோஸ்டுடன் இணைக்கவும்.

லாசரஸ் குழு, புனையப்பட்ட வேலை வாய்ப்புகள் மூலம் தனிநபர்களைக் குறிவைத்தது மற்றும் பாதுகாப்புத் தயாரிப்புகளைத் தவிர்த்து சிறந்த நிலைத்தன்மையை அடைய ஒரு அதிநவீன கருவிகளைப் பயன்படுத்தியது. இத்தகைய சிக்கலான தாக்குதல் சங்கிலியை உருவாக்க அவர்கள் குறிப்பிடத்தக்க வளங்களை முதலீடு செய்தனர் என்பது தெளிவாகிறது. லாசரஸ் தொடர்ந்து புதுமைகளை உருவாக்க வேண்டும் மற்றும் விண்டோஸ் குறைப்பு மற்றும் பாதுகாப்பு தயாரிப்புகளின் பல்வேறு அம்சங்களை ஆய்வு செய்ய மகத்தான ஆதாரங்களை ஒதுக்க வேண்டும் என்பது உறுதியானது. இணைய பாதுகாப்பு முயற்சிகளுக்கு மாற்றியமைக்கும் மற்றும் பரிணாம வளர்ச்சிக்கான அவர்களின் திறன் குறிப்பிடத்தக்க சவாலாக உள்ளது.