Kaolin RAT

ఉత్తర కొరియాతో అనుసంధానించబడిన సైబర్ ముప్పు సంస్థ Lazarus గ్రూప్, 2023 వేసవిలో ఆసియా ప్రాంతంలో నిర్దిష్ట వ్యక్తులపై లక్ష్యంగా దాడుల సమయంలో Kaolin RAT అనే కొత్త రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ని పంపిణీ చేయడానికి సుపరిచితమైన ఉద్యోగ సంబంధిత ట్రాప్‌లను ఉపయోగించింది.

ఈ మాల్వేర్, సాధారణ RAT కార్యాచరణలతో పాటు, ఎంచుకున్న ఫైల్ యొక్క చివరి వ్రాత సమయ ముద్రను సవరించగల సామర్థ్యాన్ని కలిగి ఉంది మరియు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి అందించబడిన ఏదైనా DLL బైనరీని లోడ్ చేయగలదు. FudModule రూట్‌కిట్‌ని అమలు చేయడానికి RAT ఒక గేట్‌వేగా పనిచేసింది, ఇది ఇటీవల appid.sys డ్రైవర్‌లో (CVE-2024-21338) అడ్మిన్-టు-కెర్నల్ ఎక్స్‌ప్లోయిట్‌ని ఉపయోగించి కెర్నల్ రీడ్/రైట్ సామర్థ్యాన్ని పొందడం మరియు తదనంతరం భద్రతా చర్యలను నిలిపివేయడం గమనించబడింది. .

కయోలిన్ RATని అమలు చేయడానికి ఫేక్ జాబ్ ఆఫర్‌లను ఎరగా ఉపయోగించారు

లాజరస్ గ్రూప్ యొక్క జాబ్ ఆఫర్ బెయిట్‌లను చొరబాటు లక్ష్యాల కోసం ఉపయోగించడం అనేది పునరావృతమయ్యే వ్యూహం. ఆపరేషన్ డ్రీమ్ జాబ్ అని పిలుస్తారు, ఈ దీర్ఘకాల ప్రచారం మాల్వేర్‌ను పంపిణీ చేయడానికి వివిధ సోషల్ మీడియా మరియు ఇన్‌స్టంట్ మెసేజింగ్ ప్లాట్‌ఫారమ్‌లను ఉపయోగిస్తుంది.

ఈ స్కీమ్‌లో, మూడు ఫైల్‌లను కలిగి ఉన్న అసురక్షిత ఆప్టికల్ డిస్క్ ఇమేజ్ (ISO) ఫైల్‌ను తెరవడం ద్వారా లక్ష్యాలను మోసగించడం ద్వారా ప్రారంభ ప్రాప్యత పొందబడుతుంది. ఈ ఫైల్‌లలో ఒకటి Amazon VNC క్లయింట్ ('AmazonVNC.exe') లాగా ఉంది, అయితే ఇది 'choice.exe' అని పిలువబడే చట్టబద్ధమైన Windows అప్లికేషన్ యొక్క పేరు మార్చబడిన సంస్కరణ. 'version.dll' మరియు 'aws.cfg' అనే ఇతర రెండు ఫైల్‌లు సంక్రమణ ప్రక్రియను ప్రారంభించడానికి ఉత్ప్రేరకాలుగా పనిచేస్తాయి. ప్రత్యేకించి, 'AmazonVNC.exe' అనేది 'version.dll'ని లోడ్ చేయడానికి ఉపయోగించబడుతుంది, ఇది IExpress.exe ప్రాసెస్‌కు దారి తీస్తుంది మరియు 'aws.cfg.'లో నిల్వ చేయబడిన పేలోడ్‌ను ఇంజెక్ట్ చేస్తుంది.

కాంప్లెక్స్ మల్టీ-స్టేజ్ అటాక్ చైన్ రాజీపడిన పరికరాలకు సోకుతుంది

పేలోడ్ C2 డొమైన్ ('henraux.com') నుండి షెల్‌కోడ్‌ను తిరిగి పొందేందుకు రూపొందించబడింది, ఇది మార్బుల్ మరియు గ్రానైట్ ప్రాసెసింగ్‌లో ప్రత్యేకత కలిగిన ఇటాలియన్ కంపెనీ యొక్క రాజీపడిన వెబ్‌సైట్‌గా అనుమానించబడింది.

షెల్‌కోడ్ యొక్క ఖచ్చితమైన ప్రయోజనం అస్పష్టంగా ఉన్నప్పటికీ, రోల్‌స్లింగ్ అని పిలవబడే తదుపరి-దశ మాల్వేర్‌ను పొందేందుకు మరియు అమలు చేయడానికి రూపొందించబడిన DLL-ఆధారిత లోడర్ RollFlingని ప్రారంభించడానికి ఇది ఉపయోగించబడింది. రోల్‌స్లింగ్, మైక్రోసాఫ్ట్ గతంలో Lazarus గ్రూప్ ప్రచారంలో క్లిష్టమైన JetBrains TeamCity దుర్బలత్వాన్ని (CVE-2023-42793) ఉపయోగించుకోవడం ద్వారా గుర్తించబడింది, ఇది ఇన్‌ఫెక్షన్ ప్రక్రియ యొక్క తదుపరి దశను సూచిస్తూ భద్రతా సాధనాల ద్వారా గుర్తించబడకుండా ఉండటానికి మెమరీలో నేరుగా అమలు చేయబడుతుంది.

రోల్‌మిడ్, మరొక లోడర్, మెమరీలో అమర్చబడుతుంది, దాడికి సిద్ధం చేయడం మరియు దశల శ్రేణి ద్వారా C2 సర్వర్‌తో కమ్యూనికేషన్‌ను ఏర్పాటు చేయడం వంటి పనిని కలిగి ఉంటుంది:

• రెండవ C2 సర్వర్ చిరునామాను కలిగి ఉన్న HTML ఫైల్‌ను తిరిగి పొందడానికి మొదటి C2 సర్వర్‌ను సంప్రదించండి.

• స్టెగానోగ్రఫీని ఉపయోగించి దాగి ఉన్న హానికరమైన భాగాన్ని కలిగి ఉన్న PNG చిత్రాన్ని తిరిగి పొందడానికి రెండవ C2 సర్వర్‌తో కమ్యూనికేట్ చేయండి.

• చిత్రం లోపల దాచిన చిరునామాను ఉపయోగించి మూడవ C2 సర్వర్‌కు డేటాను బదిలీ చేయండి.

• మూడవ C2 సర్వర్ నుండి అదనపు Base64-ఎన్కోడ్ చేసిన డేటా బ్లాబ్‌ను పొందండి, ఇందులో కయోలిన్ RAT ఉంటుంది.

కయోలిన్ RAT దాడిలో లాజరస్ గ్రూప్ ముఖ్యమైన అధునాతనతను ప్రదర్శిస్తుంది

మల్టీ-స్టేజ్ సీక్వెన్స్ వెనుక ఉన్న సాంకేతిక అధునాతనత, నిస్సందేహంగా సంక్లిష్టమైనది మరియు సంక్లిష్టమైనది, ఓవర్ కిల్‌పై సరిహద్దులు. RAT యొక్క C2 సర్వర్‌తో కమ్యూనికేషన్‌లను సెటప్ చేసిన తర్వాత, కయోలిన్ RAT FudModule రూట్‌కిట్‌ని అమలు చేయడానికి మార్గం సుగమం చేస్తుందని పరిశోధకులు విశ్వసిస్తున్నారు.

అదనంగా, మాల్వేర్ ఫైల్‌లను లెక్కించడానికి, ఫైల్ ఆపరేషన్‌లను నిర్వహించడానికి, ఫైల్‌లను C2 సర్వర్‌కి అప్‌లోడ్ చేయడానికి, ఫైల్ చివరిగా సవరించిన టైమ్‌స్టాంప్‌ను మార్చడానికి, గణించడానికి, సృష్టించడానికి మరియు ప్రక్రియలను ముగించడానికి, cmd.exeని ఉపయోగించి ఆదేశాలను అమలు చేయడానికి, DLL ఫైల్‌లను డౌన్‌లోడ్ చేయడానికి అమర్చబడి ఉంటుంది. C2 సర్వర్, మరియు ఏకపక్ష హోస్ట్‌కి కనెక్ట్ చేయండి.

లాజరస్ గ్రూప్ కల్పిత ఉద్యోగ ఆఫర్‌ల ద్వారా వ్యక్తులను లక్ష్యంగా చేసుకుంది మరియు భద్రతా ఉత్పత్తులను దాటవేస్తూ మెరుగైన పట్టుదల సాధించడానికి అధునాతన టూల్‌సెట్‌ను ఉపయోగించింది. అటువంటి సంక్లిష్టమైన దాడి గొలుసును అభివృద్ధి చేయడంలో వారు గణనీయమైన వనరులను పెట్టుబడి పెట్టినట్లు స్పష్టంగా తెలుస్తుంది. విండోస్ ఉపశమనాలు మరియు భద్రతా ఉత్పత్తుల యొక్క వివిధ అంశాలను పరిశోధించడానికి లాజరస్ నిరంతరం ఆవిష్కరణలు మరియు అపారమైన వనరులను కేటాయించవలసి ఉందని ఖచ్చితంగా చెప్పవచ్చు. సైబర్‌ సెక్యూరిటీ ప్రయత్నాలకు అనుగుణంగా మరియు అభివృద్ధి చెందడానికి వారి సామర్థ్యం ఒక ముఖ్యమైన సవాలుగా ఉంది.