Kaolin RAT

Grupa Lazarus, podmiot zajmujący się cyberprzestępczością powiązany z Koreą Północną, wykorzystał znane pułapki związane z pracą do dystrybucji nowego trojana zdalnego dostępu (RAT) o nazwie Kaolin RAT podczas ukierunkowanych ataków na określone osoby w regionie Azji latem 2023 r.

Szkodnik ten, oprócz typowych funkcjonalności RAT, miał możliwość modyfikowania znacznika czasu ostatniego zapisu wybranego pliku i ładowania dowolnego dostarczonego pliku binarnego DLL z serwera dowodzenia i kontroli (C2). RAT służył jako brama do wdrożenia rootkita FudModule, co zaobserwowano niedawno przy użyciu exploita admin-to-kernel w sterowniku appid.sys (CVE-2024-21338) w celu uzyskania możliwości odczytu/zapisu jądra, a następnie wyłączenia środków bezpieczeństwa .

Fałszywe oferty pracy wykorzystywane jako przynęta do rozmieszczenia kaolinowego szczura

Wykorzystywanie przez Grupę Lazarus przynęt z ofertami pracy do infiltracji celów to powtarzająca się strategia. Ta długotrwała kampania, znana jako Operacja Dream Job, wykorzystuje różne media społecznościowe i platformy komunikatorów internetowych do dystrybucji złośliwego oprogramowania.

W tym schemacie początkowy dostęp uzyskuje się poprzez oszukanie celów w celu otwarcia niebezpiecznego pliku obrazu dysku optycznego (ISO) zawierającego trzy pliki. Jeden z tych plików udaje klienta Amazon VNC („AmazonVNC.exe”), ale w rzeczywistości jest wersją legalnej aplikacji Windows o zmienionej nazwie, zwanej „choice.exe”. Pozostałe dwa pliki, nazwane „version.dll” i „aws.cfg”, służą jako katalizatory inicjujące proces infekcji. W szczególności plik „AmazonVNC.exe” służy do ładowania pliku „version.dll”, który następnie uruchamia proces IExpress.exe i wstrzykuje ładunek przechowywany w pliku „aws.cfg”.

Złożony, wieloetapowy łańcuch ataków infekuje zaatakowane urządzenia

Ładunek został zaprojektowany w celu pobrania kodu powłoki z domeny C2 („henraux.com”), która prawdopodobnie jest zhakowaną witryną internetową włoskiej firmy specjalizującej się w obróbce marmuru i granitu.

Chociaż dokładny cel kodu powłoki pozostaje niejasny, według doniesień służy on do inicjowania RollFling, modułu ładującego opartego na bibliotece DLL, zaprojektowanego w celu uzyskania i uruchomienia szkodliwego oprogramowania kolejnego etapu o nazwie RollSling. RollSling, zidentyfikowany wcześniej przez Microsoft w kampanii Lazarus Group wykorzystującej krytyczną lukę w zabezpieczeniach JetBrains TeamCity (CVE-2023-42793), jest wykonywany bezpośrednio w pamięci, aby uniknąć wykrycia przez narzędzia bezpieczeństwa, co stanowi kolejną fazę procesu infekcji.

Następnie w pamięci instalowany jest inny moduł ładujący RollMid, którego zadaniem jest przygotowanie się do ataku i nawiązanie komunikacji z serwerem C2 w kilku krokach:

• Skontaktuj się z pierwszym serwerem C2, aby pobrać plik HTML zawierający adres drugiego serwera C2.

• Połącz się z drugim serwerem C2, aby pobrać obraz PNG zawierający szkodliwy komponent ukryty za pomocą steganografii.

• Przesyłaj dane do trzeciego serwera C2, korzystając z adresu ukrytego w obrazie.

• Pobierz dodatkowy obiekt blob danych zakodowany w formacie Base64 z trzeciego serwera C2, który zawiera plik RAT Kaolin.

Grupa Lazarus wykazała się znaczącym wyrafinowaniem w ataku szczurów kaolinowych

Techniczne zaawansowanie wieloetapowej sekwencji, choć niewątpliwie złożone i zawiłe, graniczy z przesadą. Badacze uważają, że Kaolin RAT toruje drogę do wdrożenia rootkita FudModule po skonfigurowaniu komunikacji z serwerem C2 RAT.

Ponadto złośliwe oprogramowanie potrafi wyliczać pliki, przeprowadzać operacje na plikach, przesyłać pliki na serwer C2, zmieniać znacznik czasu ostatniej modyfikacji pliku, wyliczać, tworzyć i kończyć procesy, wykonywać polecenia za pomocą cmd.exe, pobierać pliki DLL z C2 i połącz się z dowolnym hostem.

Grupa Lazarus atakowała pojedyncze osoby za pomocą sfabrykowanych ofert pracy i korzystała z zaawansowanego zestawu narzędzi, aby osiągnąć lepszą trwałość, omijając produkty zabezpieczające. Jest oczywiste, że zainwestowali znaczne zasoby w opracowanie tak złożonego łańcucha ataków. Pewne jest, że Lazarus musiał stale wprowadzać innowacje i przeznaczyć ogromne zasoby na badanie różnych aspektów rozwiązań łagodzących i zabezpieczających Windows. Ich zdolność do adaptacji i ewolucji stanowi poważne wyzwanie dla wysiłków w zakresie cyberbezpieczeństwa.