Kaolin RAT
Skupina Lazarus, subjekt kibernetske grožnje, povezan s Severno Korejo, je uporabil znane pasti, povezane z delom, za distribucijo novega trojanca za oddaljeni dostop (RAT), imenovanega Kaolin RAT, med ciljno usmerjenimi napadi na določene posameznike v azijski regiji poleti 2023.
Ta zlonamerna programska oprema je imela poleg tipičnih funkcij RAT možnost spreminjanja časovnega žiga zadnjega pisanja izbrane datoteke in nalaganja katere koli ponujene dvojiške datoteke DLL s strežnika za ukazovanje in nadzor (C2). RAT je služil kot prehod za namestitev korenskega kompleta FudModule, ki je bil nedavno opažen z uporabo izkoriščanja skrbnika v jedro v gonilniku appid.sys (CVE-2024-21338), da bi pridobil zmožnost branja/pisanja jedra in posledično onemogočil varnostne ukrepe .
Kazalo
Lažne ponudbe za delo, uporabljene kot vabe za uvedbo Kaolin RAT
Ponavljajoča se strategija skupine Lazarus je uporaba vab ponudbe za delo za infiltracijo tarč. Ta dolgoletna kampanja, znana kot Operation Dream Job, uporablja različne družbene medije in platforme za neposredno sporočanje za distribucijo zlonamerne programske opreme.
V tej shemi se začetni dostop pridobi z zavajanjem ciljev, da odprejo nevarno sliko optičnega diska (ISO), ki vsebuje tri datoteke. Ena od teh datotek se predstavlja kot odjemalec Amazon VNC ('AmazonVNC.exe'), vendar je dejansko preimenovana različica zakonite aplikacije Windows, imenovane 'choice.exe'. Drugi dve datoteki z imenom »version.dll« in »aws.cfg« služita kot katalizatorja za sprožitev procesa okužbe. Natančneje, »AmazonVNC.exe« se uporablja za nalaganje »version.dll«, ki nato sproži proces IExpress.exe in vbrizga koristni tovor, shranjen v »aws.cfg«.
Kompleksna večstopenjska veriga napadov okuži ogrožene naprave
Koristni tovor je zasnovan tako, da pridobi lupinsko kodo iz domene C2 ('henraux.com'), za katero se sumi, da je ogrožena spletna stran italijanskega podjetja, specializiranega za obdelavo marmorja in granita.
Čeprav natančen namen lupinske kode ostaja nejasen, naj bi se uporabljala za zagon RollFlinga, nalagalnika, ki temelji na DLL in je zasnovan za pridobivanje in izvajanje zlonamerne programske opreme v kasnejši fazi, imenovane RollSling. RollSling, ki ga je Microsoft predhodno identificiral v kampanji skupine Lazarus Group, ki izkorišča kritično ranljivost JetBrains TeamCity (CVE-2023-42793), se izvaja neposredno v pomnilniku, da se prepreči odkrivanje varnostnih orodij, kar predstavlja naslednjo fazo procesa okužbe.
RollMid, še en nakladalnik, je nato nameščen v pomnilniku, zadolžen za pripravo na napad in vzpostavitev komunikacije s strežnikom C2 skozi niz korakov:
- Obrnite se na prvi strežnik C2, da pridobite datoteko HTML, ki vsebuje naslov drugega strežnika C2.
Skupina Lazarus je v napadu Kaolin RAT pokazala precejšnjo prefinjenost
Tehnična dovršenost v ozadju večstopenjskega zaporedja, čeprav nedvomno zapletena in zapletena, meji na pretirano. Raziskovalci verjamejo, da Kaolin RAT utira pot uvedbi korenskega kompleta FudModule po vzpostavitvi komunikacije s strežnikom C2 RAT.
Poleg tega je zlonamerna programska oprema opremljena za oštevilčenje datotek, izvajanje operacij datotek, nalaganje datotek na strežnik C2, spreminjanje zadnjega spremenjenega časovnega žiga datoteke, oštevilčenje, ustvarjanje in prekinitev procesov, izvajanje ukazov z uporabo cmd.exe, prenos datotek DLL iz strežnik C2 in se povežite s poljubnim gostiteljem.
Skupina Lazarus je ciljala na posameznike prek izmišljenih ponudb za delo in uporabila sofisticiran nabor orodij, da bi dosegla večjo obstojnost in obšla varnostne izdelke. Očitno je, da so v razvoj tako kompleksne verige napadov vložili znatna sredstva. Gotovo je, da je moral Lazarus nenehno uvajati inovacije in dodeliti ogromna sredstva za raziskovanje različnih vidikov blažilnih in varnostnih izdelkov sistema Windows. Njihova sposobnost prilagajanja in razvoja predstavlja velik izziv za prizadevanja na področju kibernetske varnosti.
