Kaolin RAT
Skupina Lazarus, entita kybernetických hrozeb napojená na Severní Koreu, využila známé pasti související s prací k distribuci nového trojského koně pro vzdálený přístup (RAT) s názvem Kaolin RAT během cílených útoků na konkrétní jednotlivce v asijském regionu v létě 2023.
Tento malware měl kromě typických funkcí RAT schopnost upravit časové razítko posledního zápisu vybraného souboru a načíst jakoukoli poskytnutou binární knihovnu DLL ze serveru Command-and-Control (C2). RAT sloužil jako brána k nasazení rootkitu FudModule, což bylo nedávno pozorováno pomocí zneužití admin-to-kernel v ovladači appid.sys (CVE-2024-21338) k získání schopnosti jádra číst/zapisovat a následně deaktivovat bezpečnostní opatření. .
Obsah
Falešné nabídky práce používané jako návnady pro nasazení kaolinové krysy
Využití návnad pracovních nabídek pro infiltraci cílů ze strany Lazarus Group je opakující se strategie. Tato dlouhodobá kampaň známá jako Operation Dream Job využívá různá sociální média a platformy pro rychlé zasílání zpráv k distribuci malwaru.
V tomto schématu je počáteční přístup získán oklamáním cílů, aby otevřeli nebezpečný soubor obrazu optického disku (ISO) obsahující tři soubory. Jeden z těchto souborů představuje klienta Amazon VNC („AmazonVNC.exe“), ale ve skutečnosti je přejmenovanou verzí legitimní aplikace Windows s názvem „choice.exe“. Další dva soubory s názvem 'version.dll' a 'aws.cfg' slouží jako katalyzátory pro zahájení procesu infekce. Konkrétně 'AmazonVNC.exe' se používá k načtení 'version.dll', která pak spustí proces IExpress.exe a vloží užitečné zatížení uložené v 'aws.cfg.'
Složitý vícestupňový útočný řetězec infikuje kompromitovaná zařízení
Užitná zátěž je navržena tak, aby načetla kód shellu z domény C2 ('henraux.com'), která je podezřelá z kompromitované webové stránky italské společnosti specializující se na zpracování mramoru a žuly.
Přestože přesný účel kódu shellu zůstává nejasný, údajně se používá ke spuštění RollFling, zavaděče založeného na DLL, který je navržen tak, aby získal a spustil následnou fázi malwaru zvaného RollSling. RollSling, dříve identifikovaný společností Microsoft v kampani Lazarus Group využívající kritickou zranitelnost JetBrains TeamCity (CVE-2023-42793), se spouští přímo v paměti, aby se zabránilo detekci bezpečnostními nástroji, což představuje další fázi procesu infekce.
RollMid, další zavaděč, je pak nasazen v paměti, jehož úkolem je připravit se na útok a navázat komunikaci se serverem C2 prostřednictvím řady kroků:
- Obraťte se na první server C2 a načtěte soubor HTML obsahující adresu druhého serveru C2.
Skupina Lazarus vykazuje značnou sofistikovanost v útoku kaolinových krys
Technická vyspělost za vícestupňovou sekvencí, i když nepochybně složitá a složitá, hraničí s přehnaností. Výzkumníci se domnívají, že Kaolin RAT připravuje cestu pro nasazení rootkitu FudModule po nastavení komunikace se serverem C2 RAT.
Kromě toho je malware vybaven k výčtu souborů, provádění operací se soubory, nahrávání souborů na server C2, změně posledního upraveného časového razítka souboru, výčtu, vytváření a ukončování procesů, spouštění příkazů pomocí cmd.exe, stahování souborů DLL ze souboru C2 a připojte se k libovolnému hostiteli.
Skupina Lazarus se zaměřovala na jednotlivce prostřednictvím vymyšlených pracovních nabídek a používala sofistikovanou sadu nástrojů k dosažení lepší odolnosti a obcházení bezpečnostních produktů. Je evidentní, že investovali značné prostředky do vývoje tak složitého útočného řetězce. Jisté je, že Lazarus musel neustále inovovat a vyčleňovat obrovské zdroje na výzkum různých aspektů zmírňování a bezpečnostních produktů Windows. Jejich schopnost přizpůsobit se a vyvíjet představuje významnou výzvu pro úsilí v oblasti kybernetické bezpečnosti.
