Kaolín RAT
Skupina Lazarus, entita kybernetických hrozieb spojená so Severnou Kóreou, využila známe pasce súvisiace s prácou na distribúciu nového trójskeho koňa na diaľku (RAT) s názvom Kaolin RAT počas cielených útokov na konkrétnych jednotlivcov v ázijskom regióne v lete 2023.
Tento malvér mal okrem typických funkcií RAT schopnosť upraviť časovú pečiatku posledného zápisu zvoleného súboru a načítať akúkoľvek poskytnutú binárnu DLL zo servera Command-and-Control (C2). RAT slúžil ako brána na nasadenie rootkitu FudModule, ktorý bol nedávno pozorovaný pri použití admin-to-kernel exploitu v ovládači appid.sys (CVE-2024-21338) na získanie schopnosti jadra čítať/zapisovať a následne deaktivovať bezpečnostné opatrenia. .
Obsah
Falošné pracovné ponuky používané ako návnady na nasadenie kaolínovej krysy
Využívanie návnad pracovnej ponuky na infiltráciu cieľov skupinou Lazarus je opakovanou stratégiou. Táto dlhodobá kampaň, známa ako Operation Dream Job, využíva na distribúciu škodlivého softvéru rôzne platformy sociálnych médií a okamžitých správ.
V tejto schéme sa počiatočný prístup získava oklamaním cieľov, aby otvorili nebezpečný súbor s obrazom optického disku (ISO) obsahujúci tri súbory. Jeden z týchto súborov predstavuje klienta Amazon VNC („AmazonVNC.exe“), ale v skutočnosti ide o premenovanú verziu legitímnej aplikácie Windows s názvom „choice.exe“. Ďalšie dva súbory s názvom 'version.dll' a 'aws.cfg' slúžia ako katalyzátory na spustenie procesu infekcie. Konkrétne „AmazonVNC.exe“ sa používa na načítanie súboru „version.dll“, ktorý potom spustí proces IExpress.exe a vloží užitočné zaťaženie uložené v súbore „aws.cfg“.
Komplexný viacstupňový reťazec útoku infikuje napadnuté zariadenia
Užitočné zaťaženie je navrhnuté tak, aby získalo shell kód z domény C2 ('henraux.com'), ktorá je podozrivá z napadnutia webovej stránky talianskej spoločnosti špecializujúcej sa na spracovanie mramoru a žuly.
Hoci presný účel kódu shellu zostáva nejasný, údajne sa používa na spustenie RollFling, nakladača založeného na knižnici DLL, ktorý je určený na získanie a spustenie následného škodlivého softvéru nazývaného RollSling. RollSling, ktorý predtým identifikovala spoločnosť Microsoft v kampani Lazarus Group využívajúcej kritickú zraniteľnosť JetBrains TeamCity (CVE-2023-42793), sa spúšťa priamo v pamäti, aby sa predišlo detekcii bezpečnostnými nástrojmi, čo predstavuje ďalšiu fázu procesu infekcie.
RollMid, ďalší zavádzač, je potom nasadený do pamäte, ktorej úlohou je pripraviť sa na útok a nadviazať komunikáciu so serverom C2 prostredníctvom série krokov:
- Kontaktujte prvý server C2 a získajte súbor HTML obsahujúci adresu druhého servera C2.
Skupina Lazarus preukázala značnú sofistikovanosť v útoku kaolínových potkanov
Technická vyspelosť za viacstupňovou sekvenciou, hoci nepochybne zložitá a spletitá, hraničí s prehnanosťou. Výskumníci sa domnievajú, že Kaolin RAT pripravuje pôdu pre nasadenie rootkitu FudModule po nastavení komunikácie so serverom C2 RAT.
Okrem toho je malvér vybavený na enumeráciu súborov, vykonávanie operácií so súbormi, nahrávanie súborov na server C2, zmenu poslednej zmenenej časovej pečiatky súboru, enumeráciu, vytváranie a ukončovanie procesov, spúšťanie príkazov pomocou cmd.exe, sťahovanie súborov DLL zo súboru C2 server a pripojte sa k ľubovoľnému hostiteľovi.
Skupina Lazarus sa zamerala na jednotlivcov prostredníctvom vymyslených pracovných ponúk a použila sofistikovanú sadu nástrojov na dosiahnutie lepšej odolnosti a obchádzania bezpečnostných produktov. Je evidentné, že investovali značné prostriedky do vývoja takéhoto komplexného útočného reťazca. Isté je, že Lazarus musel neustále inovovať a vyčleniť obrovské zdroje na výskum rôznych aspektov zmierňujúcich a bezpečnostných produktov Windows. Ich schopnosť prispôsobiť sa a vyvíjať predstavuje značnú výzvu pre snahy o kybernetickú bezpečnosť.
