Kaolin RAT
Lazarus grupa, ar Ziemeļkoreju saistīta kiberdraudu organizācija, izmantoja pazīstamus ar darbu saistītus slazdus, lai izplatītu jaunu attālās piekļuves Trojas zirgu (RAT) ar nosaukumu Kaolīna RAT, veicot mērķtiecīgus uzbrukumus konkrētām personām Āzijas reģionā 2023. gada vasarā.
Šai ļaunprogrammatūrai papildus tipiskām RAT funkcijām bija iespēja modificēt izvēlētā faila pēdējo rakstīšanas laikspiedolu un ielādēt jebkuru nodrošināto DLL bināro failu no Command-and-Control (C2) servera. RAT kalpoja kā vārteja, lai izvietotu FudModule saknes komplektu, kas nesen tika novērots, izmantojot admin-to-kernel exploit appid.sys draiverī (CVE-2024-21338), lai iegūtu kodola lasīšanas/rakstīšanas iespējas un pēc tam atspējotu drošības pasākumus. .
Satura rādītājs
Viltus darba piedāvājumi, ko izmanto kā vilinājumus kaolīna RAT izvietošanai
Lazarus grupas darba piedāvājumu ēsmu izmantošana, lai iefiltrētos mērķos, ir atkārtota stratēģija. Šī ilggadējā kampaņa, kas pazīstama kā operācija Dream Job, ļaunprātīgas programmatūras izplatīšanai izmanto dažādus sociālo mediju un tūlītējās ziņojumapmaiņas platformas.
Šajā shēmā sākotnējā piekļuve tiek iegūta, maldinot mērķus, atverot nedrošu optiskā diska attēla (ISO) failu, kurā ir trīs faili. Viens no šiem failiem ir Amazon VNC klients (“AmazonVNC.exe”), taču patiesībā tas ir likumīgas Windows lietojumprogrammas, ko sauc par “choice.exe”, pārdēvēta versija. Pārējie divi faili ar nosaukumu “version.dll” un “aws.cfg” kalpo kā katalizatori infekcijas procesa sākšanai. Konkrēti, “AmazonVNC.exe” tiek izmantots, lai ielādētu “version.dll”, kas pēc tam rada IExpress.exe procesu un ievada lietderīgo slodzi, kas glabājas failā “aws.cfg”.
Sarežģīta daudzpakāpju uzbrukuma ķēde inficē apdraudētās ierīces
Lietderīgā slodze ir izstrādāta, lai izgūtu čaulas kodu no C2 domēna (“henraux.com”), kas, iespējams, ir itāļu uzņēmuma, kas specializējas marmora un granīta apstrādē, uzlauzta vietne.
Lai gan precīzs čaulas koda mērķis joprojām nav skaidrs, tiek ziņots, ka tas tiek izmantots, lai iniciētu RollFling — uz DLL balstītu ielādētāju, kas paredzēts, lai iegūtu un izpildītu nākamās pakāpes ļaunprātīgu programmatūru, ko sauc par RollSling. RollSling, ko Microsoft iepriekš identificēja Lazarus Group kampaņā, izmantojot kritisku JetBrains TeamCity ievainojamību (CVE-2023-42793), tiek izpildīts tieši atmiņā, lai izvairītos no atklāšanas ar drošības rīkiem, kas pārstāv infekcijas procesa nākamo posmu.
Pēc tam atmiņā tiek izvietots cits ielādētājs RollMid, kura uzdevums ir sagatavoties uzbrukumam un izveidot saziņu ar C2 serveri, veicot vairākas darbības:
- Sazinieties ar pirmo C2 serveri, lai izgūtu HTML failu, kurā ir otrā C2 servera adrese.
- Sazinieties ar otro C2 serveri, lai izgūtu PNG attēlu, kas satur kaitīgu komponentu, kas paslēpts, izmantojot steganogrāfiju.
- Pārsūtiet datus uz trešo C2 serveri, izmantojot attēla slēpto adresi.
- Iegūstiet papildu Base64 kodētu datu lāse no trešā C2 servera, kurā ir Kaolīna RAT.
Lazarus grupai ir ievērojama izsmalcinātība kaolīna žurku uzbrukumā
Daudzpakāpju secības tehniskā izsmalcinātība, lai gan, bez šaubām, ir sarežģīta un sarežģīta, robežojas ar pārspīlējumu. Pētnieki uzskata, ka Kaolin RAT paver ceļu FudModule saknes komplekta izvietošanai pēc sakaru iestatīšanas ar RAT C2 serveri.
Turklāt ļaunprogrammatūra ir aprīkota, lai uzskaitītu failus, veiktu failu darbības, augšupielādētu failus C2 serverī, mainītu faila pēdējo modificēto laikspiedolu, uzskaitītu, izveidotu un pārtrauktu procesus, izpildītu komandas, izmantojot cmd.exe, lejupielādētu DLL failus no C2 serveri un izveidojiet savienojumu ar patvaļīgu resursdatoru.
Lazarus grupa mērķēja uz personām, izmantojot izdomātus darba piedāvājumus, un izmantoja izsmalcinātu rīku komplektu, lai panāktu labāku noturību, vienlaikus apejot drošības produktus. Ir skaidrs, ka viņi ieguldīja ievērojamus resursus šādas sarežģītas uzbrukuma ķēdes izstrādē. Ir skaidrs, ka Lazarus bija nepārtraukti jāievieš jauninājumi un jāpiešķir milzīgi resursi, lai izpētītu dažādus Windows mazināšanas un drošības produktu aspektus. Viņu spēja pielāgoties un attīstīties rada ievērojamu izaicinājumu kiberdrošības centieniem.
