Kaolin RAT

Lazarus Group, организация, занимающаяся киберугрозами, связанная с Северной Кореей, использовала знакомые ловушки, связанные с работой, для распространения нового трояна удаленного доступа (RAT) под названием Kaolin RAT во время целенаправленных атак на конкретных лиц в азиатском регионе летом 2023 года.

Это вредоносное ПО, в дополнение к типичным функциям RAT, имело возможность изменять временную метку последней записи выбранного файла и загружать любой предоставленный двоичный файл DLL с сервера управления и контроля (C2). RAT служил шлюзом для развертывания руткита FudModule, который недавно был обнаружен с использованием эксплойта «администратор-ядро» в драйвере appid.sys (CVE-2024-21338) для получения возможности чтения/записи ядра и последующего отключения мер безопасности. .

Ложные предложения о работе используются как приманка для внедрения каолиновой крысы

Использование Lazarus Group приманок в виде предложений о работе для проникновения в цели является постоянной стратегией. Эта давняя кампания, известная как Operation Dream Job, использует различные социальные сети и платформы обмена мгновенными сообщениями для распространения вредоносного ПО.

В этой схеме первоначальный доступ достигается путем обмана цели, заставляя ее открыть небезопасный файл образа оптического диска (ISO), содержащий три файла. Один из этих файлов выдает себя за клиент Amazon VNC («AmazonVNC.exe»), но на самом деле представляет собой переименованную версию законного приложения Windows под названием «choice.exe». Два других файла, названные «version.dll» и «aws.cfg», служат катализаторами для запуска процесса заражения. В частности, «AmazonVNC.exe» используется для загрузки «version.dll», который затем запускает процесс IExpress.exe и вводит полезную нагрузку, хранящуюся в «aws.cfg».

Сложная многоэтапная цепочка атак заражает скомпрометированные устройства

Полезная нагрузка предназначена для извлечения шелл-кода из домена C2 («henraux.com»), предположительно взломанного веб-сайта итальянской компании, специализирующейся на обработке мрамора и гранита.

Хотя точная цель шеллкода остается неясной, как сообщается, он используется для запуска RollFling, загрузчика на основе DLL, предназначенного для получения и выполнения вредоносного ПО последующей стадии под названием RollSling. RollSling, ранее обнаруженный Microsoft в кампании Lazarus Group, использующей критическую уязвимость JetBrains TeamCity (CVE-2023-42793), выполняется непосредственно в памяти, чтобы избежать обнаружения инструментами безопасности, что представляет собой следующий этап процесса заражения.

Затем в памяти развертывается еще один загрузчик RollMid, которому поручено подготовиться к атаке и установить связь с сервером C2 посредством ряда шагов:

• Свяжитесь с первым сервером C2, чтобы получить HTML-файл, содержащий адрес второго сервера C2.

• Свяжитесь со вторым сервером C2, чтобы получить изображение PNG, содержащее вредоносный компонент, скрытый с помощью стеганографии.

• Передайте данные на третий сервер C2, используя скрытый адрес из изображения.

• Получите дополнительный блок данных в кодировке Base64 с третьего сервера C2, который содержит Kaolin RAT.

Группа Lazarus продемонстрировала значительную изощренность в атаке каолиновых крыс

Техническая сложность многоступенчатой последовательности, хотя и без сомнения сложна и замысловата, граничит с излишеством. Исследователи полагают, что Kaolin RAT открывает путь для развертывания руткита FudModule после настройки связи с сервером C2 RAT.

Кроме того, вредоносная программа способна перебирать файлы, выполнять файловые операции, загружать файлы на сервер C2, изменять временную метку последнего изменения файла, перечислять, создавать и завершать процессы, выполнять команды с помощью cmd.exe, загружать файлы DLL из Сервер C2 и подключитесь к произвольному хосту.

Группа Lazarus преследовала отдельных лиц посредством сфабрикованных предложений о работе и использовала сложный набор инструментов для достижения большей устойчивости в обход продуктов безопасности. Очевидно, что они вложили значительные ресурсы в разработку столь сложной цепочки атак. Несомненно то, что Lazarus приходилось постоянно внедрять инновации и выделять огромные ресурсы для исследования различных аспектов средств защиты Windows и продуктов безопасности. Их способность адаптироваться и развиваться представляет собой серьезную проблему для усилий по обеспечению кибербезопасности.