Kaolin RAT

Lazarus Group, उत्तर कोरियासँग जोडिएको साइबर खतरा निकायले 2023 को गर्मीमा एशिया क्षेत्रमा विशेष व्यक्तिहरूमाथि लक्षित आक्रमणको क्रममा Kaolin RAT नामको नयाँ रिमोट एक्सेस ट्रोजन (RAT) वितरण गर्न परिचित जागिर-सम्बन्धित जालहरू प्रयोग गर्‍यो।

यो मालवेयर, विशिष्ट RAT कार्यात्मकताहरूका अतिरिक्त, छनौट गरिएको फाइलको अन्तिम लेखन टाइमस्ट्याम्प परिमार्जन गर्न र कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट कुनै पनि प्रदान गरिएको DLL बाइनरी लोड गर्ने क्षमता थियो। RAT ले FudModule rootkit तैनात गर्न गेटवेको रूपमा काम गर्‍यो, जुन भर्खरै appid.sys ड्राइभर (CVE-2024-21338) मा कर्नेल पढ्न/लेखन क्षमता प्राप्त गर्न र पछि सुरक्षा उपायहरू असक्षम पार्नको लागि एडमिन-टु-कर्नेल शोषण प्रयोग गरी अवलोकन गरिएको थियो। ।

Kaolin RAT को तैनाती को लागी नक्कली नौकरी प्रस्तावहरु लाई लुर्स को रूप मा उपयोग

लाजरस समूहले घुसपैठ गर्ने लक्ष्यहरूको लागि रोजगार प्रस्ताव चाराहरूको उपयोग एक दोहोरिने रणनीति हो। अपरेशन ड्रीम जब भनेर चिनिन्छ, यो लामो समयदेखि चलिरहेको अभियानले मालवेयर वितरण गर्न विभिन्न सामाजिक मिडिया र तत्काल सन्देश प्लेटफर्महरू प्रयोग गर्दछ।

यस योजनामा, तीनवटा फाइलहरू भएको असुरक्षित अप्टिकल डिस्क छवि (ISO) फाइल खोल्ने लक्ष्यहरूलाई धोका दिएर प्रारम्भिक पहुँच प्राप्त गरिन्छ। यी फाइलहरू मध्ये एउटा Amazon VNC क्लाइन्ट ('AmazonVNC.exe') को रूपमा खडा हुन्छ तर वास्तवमा 'choice.exe' भनिने वैध विन्डोज अनुप्रयोगको पुन: नामाकरण गरिएको संस्करण हो। 'version.dll' र 'aws.cfg' नामक अन्य दुई फाइलहरूले संक्रमण प्रक्रिया सुरु गर्न उत्प्रेरकको रूपमा काम गर्छन्। विशेष रूपमा, 'version.dll' लोड गर्न 'AmazonVNC.exe' प्रयोग गरिन्छ, जसले त्यसपछि IExpress.exe प्रक्रिया उत्पन्न गर्छ र 'aws.cfg' भित्र भण्डारण गरिएको पेलोड इन्जेक्ट गर्छ।

एक जटिल बहु-चरण आक्रमण श्रृंखलाले सम्झौता गरिएका उपकरणहरूलाई संक्रमित गर्दछ

पेलोडलाई C2 डोमेन ('henraux.com') बाट शेलकोड पुन: प्राप्त गर्न इन्जिनियर गरिएको छ, मार्बल र ग्रेनाइट प्रशोधनमा विशेषज्ञता प्राप्त इटालियन कम्पनीको सम्झौता गरिएको वेबसाइट भएको शंका गरिएको छ।

यद्यपि शेलकोडको सही उद्देश्य अस्पष्ट रहन्छ, यो कथित रूपमा रोलफ्लिङ्ग प्रारम्भ गर्न प्रयोग गरिन्छ, एक DLL-आधारित लोडर रोलस्लिंग भनिने पछिको-चरण मालवेयर प्राप्त गर्न र कार्यान्वयन गर्न डिजाइन गरिएको। RollSling, पहिले नै माइक्रोसफ्ट द्वारा Lazarus समूह अभियान मा एक महत्वपूर्ण JetBrains TeamCity जोखिम (CVE-2023-42793) को शोषण मा पहिचान गरिएको, संक्रमण प्रक्रिया को अर्को चरण को प्रतिनिधित्व गर्दै सुरक्षा उपकरणहरु द्वारा पत्ता लगाउनबाट बच्नको लागि सिधै मेमोरी मा कार्यान्वयन गरिन्छ।

रोलमिड, अर्को लोडर, त्यसपछि मेमोरीमा तैनाथ गरिन्छ, आक्रमणको लागि तयारी गर्ने र चरणहरूको श्रृंखला मार्फत C2 सर्भरसँग सञ्चार स्थापना गर्ने जिम्मेवारी दिइएको छ:

• दोस्रो C2 सर्भरको ठेगाना समावेश भएको HTML फाइल पुन: प्राप्त गर्न पहिलो C2 सर्भरलाई सम्पर्क गर्नुहोस्।

लाजरस समूहले Kaolin RAT आक्रमणमा महत्त्वपूर्ण परिष्कार प्रदर्शन गर्दछ

बहु-चरण अनुक्रम पछाडिको प्राविधिक परिष्कार, निस्सन्देह जटिल र जटिल हुँदा, ओभरकिलमा सीमाना। अन्वेषकहरूले विश्वास गर्छन् कि Kaolin RAT ले RAT को C2 सर्भरसँग सञ्चार सेटअप गरेपछि FudModule rootkit को तैनातीको लागि मार्ग प्रशस्त गर्दछ।

थप रूपमा, मालवेयर फाइलहरू गणना गर्न, फाइल सञ्चालनहरू गर्न, C2 सर्भरमा फाइलहरू अपलोड गर्न, फाइलको अन्तिम परिमार्जित टाइमस्ट्याम्प परिवर्तन गर्न, प्रक्रियाहरू गणना गर्न, सिर्जना गर्न र समाप्त गर्न, cmd.exe प्रयोग गरेर आदेशहरू कार्यान्वयन गर्न, DLL फाइलहरू डाउनलोड गर्न सुसज्जित छ। C2 सर्भर, र एक मनमानी होस्टमा जडान गर्नुहोस्।

लाजरस समूहले बनावटी रोजगार प्रस्तावहरू मार्फत व्यक्तिहरूलाई लक्षित गर्‍यो र सुरक्षा उत्पादनहरूलाई बाइपास गर्दै राम्रो दृढता प्राप्त गर्न एक परिष्कृत उपकरणसेट प्रयोग गर्‍यो। यो स्पष्ट छ कि तिनीहरूले यस्तो जटिल आक्रमण श्रृंखला विकास गर्न महत्त्वपूर्ण स्रोतहरू लगानी गरे। के निश्चित छ कि लाजरसले विन्डोज न्यूनीकरण र सुरक्षा उत्पादनहरूका विभिन्न पक्षहरूको अनुसन्धान गर्न लगातार नयाँ आविष्कार गर्नुपरेको थियो र प्रशस्त स्रोतहरू आवंटित गर्नुपर्थ्यो। तिनीहरूको अनुकूलन र विकास गर्ने क्षमताले साइबरसुरक्षा प्रयासहरूमा महत्त्वपूर्ण चुनौती खडा गर्छ।