Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Remote Administration Tools Kaolin RAT

Kaolin RAT

Nga MezoRemote Administration Tools, Advanced Persistent Threat (APT)
Përkthe në:
Shqip

Grupi Lazarus, një entitet i kërcënimit kibernetik i lidhur me Korenë e Veriut, përdori kurthe të njohura të lidhura me punën për të shpërndarë një Trojan të ri me qasje në distancë (RAT) të quajtur Kaolin RAT gjatë sulmeve të synuara ndaj individëve të veçantë në rajonin e Azisë në verën e vitit 2023.

Ky malware, përveç funksionaliteteve tipike RAT, kishte aftësinë të modifikonte vulën kohore të fundit të shkrimit të një skedari të zgjedhur dhe të ngarkonte çdo binar DLL të ofruar nga një server Command-and-Control (C2). RAT shërbeu si një portë për vendosjen e rootkit-it FudModule, i cili u vëzhgua kohët e fundit duke përdorur një shfrytëzim nga administratori në kernel në drejtuesin appid.sys (CVE-2024-21338) për të fituar një aftësi leximi/shkrimi të kernelit dhe më pas çaktivizoni masat e sigurisë .

Oferta të rreme pune të përdorura si joshje për vendosjen e kaolinit RAT

Përdorimi i karremave të ofertave të punës nga Grupi Lazarus për infiltrimin e objektivave është një strategji e përsëritur. E njohur si Operation Dream Job, kjo fushatë e gjatë përdor media të ndryshme sociale dhe platforma të mesazheve të çastit për të shpërndarë malware.

Në këtë skemë, qasja fillestare fitohet duke mashtruar objektivat për të hapur një skedar të pasigurt të imazhit të diskut optik (ISO) që përmban tre skedarë. Një prej këtyre skedarëve paraqitet si një klient VNC i Amazon ('AmazonVNC.exe'), por në fakt është një version i riemërtuar i një aplikacioni legjitim të Windows të quajtur 'choice.exe'. Dy skedarët e tjerë, të quajtur 'version.dll' dhe 'aws.cfg' shërbejnë si katalizatorë për të nisur procesin e infektimit. Në mënyrë të veçantë, 'AmazonVNC.exe' përdoret për të ngarkuar 'version.dll', i cili më pas krijon një proces IExpress.exe dhe injekton një ngarkesë të ruajtur brenda 'aws.cfg.'

Një zinxhir kompleks sulmi me shumë faza infekton pajisjet e komprometuara

Ngarkesa është projektuar për të marrë kodin e guaskës nga një domen C2 ('henraux.com'), që dyshohet të jetë një faqe interneti e komprometuar e një kompanie italiane e specializuar në përpunimin e mermerit dhe granitit.

Megjithëse qëllimi i saktë i kodit shell mbetet i paqartë, ai thuhet se përdoret për të inicuar RollFling, një ngarkues i bazuar në DLL i krijuar për të marrë dhe ekzekutuar malware-in e fazës pasuese të quajtur RollSling. RollSling, i identifikuar më parë nga Microsoft në një fushatë të Grupit Lazarus duke shfrytëzuar një cenueshmëri kritike të JetBrains TeamCity (CVE-2023-42793), ekzekutohet drejtpërdrejt në memorie për të shmangur zbulimin nga mjetet e sigurisë, që përfaqëson fazën tjetër të procesit të infeksionit.

RollMid, një ngarkues tjetër, vendoset më pas në memorie, i ngarkuar me përgatitjen për sulmin dhe vendosjen e komunikimit me një server C2 përmes një sërë hapash:

  • Kontaktoni serverin e parë C2 për të marrë një skedar HTML që përmban adresën e serverit të dytë C2.
  • Komunikoni me serverin e dytë C2 për të marrë një imazh PNG që përmban një komponent të dëmshëm të fshehur duke përdorur steganografi.
  • Transmetoni të dhënat në serverin e tretë C2 duke përdorur adresën e fshehur brenda imazhit.
  • Merr një pikë shtesë të dhënash të koduar me Base64 nga serveri i tretë C2, i cili përmban kaolin RAT.

Grupi Lazarus shfaq një sofistikim të rëndësishëm në sulmin me miu me kaolinë

Sofistikimi teknik pas sekuencës me shumë faza, ndonëse pa dyshim kompleks dhe i ndërlikuar, kufizohet me tejkalim. Studiuesit besojnë se Kaolin RAT hap rrugën për vendosjen e rootkit-it FudModule pas vendosjes së komunikimeve me serverin C2 të RAT.

Përveç kësaj, malware është i pajisur për të numëruar skedarë, për të kryer operacione skedarësh, për të ngarkuar skedarë në serverin C2, për të ndryshuar vulën kohore të modifikuar të fundit të skedarit, për të numëruar, krijuar dhe përfunduar proceset, për të ekzekutuar komanda duke përdorur cmd.exe, për të shkarkuar skedarë DLL nga Server C2 dhe lidheni me një host arbitrar.

Grupi Lazarus synonte individë përmes ofertave të fabrikuara të punës dhe përdori një grup mjetesh të sofistikuara për të arritur qëndrueshmëri më të mirë duke anashkaluar produktet e sigurisë. Është e qartë se ata investuan burime të konsiderueshme në zhvillimin e një zinxhiri sulmi kaq kompleks. Ajo që është e sigurt është se Lazarus-it iu desh të rinovonte vazhdimisht dhe të shpërndante burime të mëdha për të hulumtuar aspekte të ndryshme të zbutjes së Windows dhe produkteve të sigurisë. Aftësia e tyre për t'u përshtatur dhe evoluar paraqet një sfidë të rëndësishme për përpjekjet e sigurisë kibernetike.

Në trend

Më e shikuara

Po ngarkohet...