Kaolin RAT
Lazarus Group ซึ่งเป็นหน่วยงานด้านภัยคุกคามทางไซเบอร์ที่เชื่อมโยงกับเกาหลีเหนือ ใช้กับดักที่เกี่ยวข้องกับงานที่คุ้นเคยเพื่อแจกจ่าย Remote Access Trojan (RAT) ใหม่ชื่อ Kaolin RAT ระหว่างการโจมตีแบบกำหนดเป้าหมายเฉพาะบุคคลในภูมิภาคเอเชียในช่วงฤดูร้อนปี 2566
มัลแวร์นี้ นอกเหนือจากฟังก์ชัน RAT ทั่วไปแล้ว ยังมีความสามารถในการแก้ไขการประทับเวลาการเขียนล่าสุดของไฟล์ที่เลือก และโหลดไบนารี DLL ใดๆ ที่ให้มาจากเซิร์ฟเวอร์ Command-and-Control (C2) RAT ทำหน้าที่เป็นเกตเวย์ในการปรับใช้รูทคิท FudModule ซึ่งเพิ่งสังเกตเห็นโดยใช้ช่องโหว่แบบผู้ดูแลระบบถึงเคอร์เนลในไดรเวอร์ appid.sys (CVE-2024-21338) เพื่อรับความสามารถในการอ่าน/เขียนเคอร์เนล และปิดใช้งานมาตรการรักษาความปลอดภัยในเวลาต่อมา .
สารบัญ
ข้อเสนองานปลอมที่ใช้เป็นเหยื่อล่อในการปรับใช้ Kaolin RAT
การใช้ประโยชน์จากข้อเสนองานของ Lazarus Group เพื่อโจมตีเป้าหมายที่แทรกซึมถือเป็นกลยุทธ์ที่เกิดขึ้นซ้ำๆ แคมเปญที่มีมายาวนานนี้รู้จักกันในชื่อ Operation Dream Job ใช้โซเชียลมีเดียและแพลตฟอร์มการส่งข้อความโต้ตอบแบบทันทีเพื่อกระจายมัลแวร์
ในรูปแบบนี้ การเข้าถึงเบื้องต้นทำได้โดยการหลอกลวงเป้าหมายให้เปิดไฟล์ Optical Disc Image (ISO) ที่ไม่ปลอดภัยซึ่งมีไฟล์สามไฟล์ หนึ่งในไฟล์เหล่านี้แสดงเป็นไคลเอนต์ Amazon VNC ('AmazonVNC.exe') แต่จริงๆ แล้วเป็นเวอร์ชันที่ถูกเปลี่ยนชื่อของแอปพลิเคชัน Windows ที่ถูกกฎหมายที่เรียกว่า 'choice.exe' อีกสองไฟล์ชื่อ 'version.dll' และ 'aws.cfg' ทำหน้าที่เป็นตัวเร่งในการเริ่มกระบวนการติดไวรัส โดยเฉพาะอย่างยิ่ง 'AmazonVNC.exe' ใช้เพื่อโหลด 'version.dll' ซึ่งจากนั้นจะสร้างกระบวนการ IExpress.exe และแทรกเพย์โหลดที่จัดเก็บไว้ใน 'aws.cfg'
ห่วงโซ่การโจมตีแบบหลายขั้นตอนที่ซับซ้อนแพร่ระบาดไปยังอุปกรณ์ที่ถูกบุกรุก
เพย์โหลดได้รับการออกแบบทางวิศวกรรมเพื่อดึงเชลล์โค้ดจากโดเมน C2 ('henraux.com') ซึ่งต้องสงสัยว่าเป็นเว็บไซต์ที่ถูกบุกรุกของบริษัทอิตาลีที่เชี่ยวชาญด้านการประมวลผลหินอ่อนและหินแกรนิต
แม้ว่าวัตถุประสงค์ที่แท้จริงของเชลล์โค้ดยังไม่ชัดเจน แต่มีรายงานว่าใช้เพื่อเริ่มต้น RollFling ซึ่งเป็นตัวโหลดที่ใช้ DLL ซึ่งได้รับการออกแบบมาเพื่อรับและดำเนินการมัลแวร์ระยะต่อมาที่เรียกว่า RollSling RollSling ซึ่งก่อนหน้านี้ระบุโดย Microsoft ในแคมเปญ Lazarus Group ซึ่งใช้ประโยชน์จากช่องโหว่ที่สำคัญของ JetBrains TeamCity (CVE-2023-42793) จะถูกดำเนินการในหน่วยความจำโดยตรงเพื่อหลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัย ซึ่งแสดงถึงขั้นตอนต่อไปของกระบวนการติดไวรัส
RollMid ซึ่งเป็นตัวโหลดอีกตัวหนึ่งจะถูกนำไปใช้ในหน่วยความจำ โดยมีหน้าที่เตรียมการโจมตีและสร้างการสื่อสารกับเซิร์ฟเวอร์ C2 ผ่านชุดขั้นตอน:
- ติดต่อเซิร์ฟเวอร์ C2 ตัวแรกเพื่อเรียกค้นไฟล์ HTML ที่มีที่อยู่ของเซิร์ฟเวอร์ C2 ตัวที่สอง
- สื่อสารกับเซิร์ฟเวอร์ C2 ตัวที่สองเพื่อดึงข้อมูลภาพ PNG ที่มีส่วนประกอบที่เป็นอันตรายซึ่งซ่อนไว้โดยใช้ Steganography
- ส่งข้อมูลไปยังเซิร์ฟเวอร์ C2 ตัวที่สามโดยใช้ที่อยู่ที่ซ่อนอยู่จากภายในรูปภาพ
- ดึงข้อมูล Blob ที่เข้ารหัส Base64 เพิ่มเติมจากเซิร์ฟเวอร์ C2 ตัวที่สาม ซึ่งมี Kaolin RAT
Lazarus Group จัดแสดงความซับซ้อนที่สำคัญในการโจมตี Kaolin RAT
ความซับซ้อนทางเทคนิคที่อยู่เบื้องหลังซีเควนซ์แบบหลายขั้นตอน แม้จะซับซ้อนและซับซ้อนอย่างไม่ต้องสงสัย แต่ก็มีขอบเขตเกินความจำเป็น นักวิจัยเชื่อว่า Kaolin RAT ปูทางสำหรับการปรับใช้รูทคิท FudModule หลังจากตั้งค่าการสื่อสารกับเซิร์ฟเวอร์ C2 ของ RAT
นอกจากนี้ มัลแวร์ยังติดตั้งเพื่อแจกแจงไฟล์ ดำเนินการไฟล์ อัพโหลดไฟล์ไปยังเซิร์ฟเวอร์ C2 แก้ไขการประทับเวลาที่แก้ไขล่าสุดของไฟล์ แจกแจง สร้าง และยุติกระบวนการ รันคำสั่งโดยใช้ cmd.exe ดาวน์โหลดไฟล์ DLL จาก เซิร์ฟเวอร์ C2 และเชื่อมต่อกับโฮสต์ที่กำหนดเอง
กลุ่ม Lazarus กำหนดเป้าหมายบุคคลผ่านการเสนองานปลอม และใช้ชุดเครื่องมือที่ซับซ้อนเพื่อให้มีความคงอยู่ที่ดีขึ้นในขณะที่หลีกเลี่ยงผลิตภัณฑ์รักษาความปลอดภัย เห็นได้ชัดว่าพวกเขาลงทุนทรัพยากรจำนวนมากในการพัฒนาห่วงโซ่การโจมตีที่ซับซ้อนเช่นนี้ สิ่งที่แน่นอนก็คือ Lazarus ต้องสร้างสรรค์สิ่งใหม่ๆ อย่างต่อเนื่องและจัดสรรทรัพยากรจำนวนมหาศาลเพื่อวิจัยแง่มุมต่างๆ ของการบรรเทาปัญหา Windows และผลิตภัณฑ์รักษาความปลอดภัย ความสามารถในการปรับตัวและพัฒนาถือเป็นความท้าทายที่สำคัญต่อความพยายามด้านความปลอดภัยทางไซเบอร์
