Kaolin RAT

El Grup Lazarus, una entitat d'amenaça cibernètica vinculada a Corea del Nord, va utilitzar trampes familiars relacionades amb la feina per distribuir un nou troià d'accés remot (RAT) anomenat Kaolin RAT durant atacs dirigits a persones específiques a la regió d'Àsia l'estiu del 2023.

Aquest programari maliciós, a més de les funcionalitats típiques de RAT, tenia la capacitat de modificar la darrera marca de temps d'escriptura d'un fitxer escollit i carregar qualsevol binari DLL proporcionat des d'un servidor d'ordres i control (C2). El RAT va servir com a porta d'entrada per desplegar el rootkit FudModule, que es va observar recentment utilitzant un exploit d'administració al nucli al controlador appid.sys (CVE-2024-21338) per obtenir una capacitat de lectura/escriptura del nucli i, posteriorment, desactivar les mesures de seguretat. .

Ofertes de feina falses utilitzades com a esquers per desplegar la RAT de caolí

La utilització del Grup Lazarus d'esquers d'ofertes de feina per infiltrar-se en objectius és una estratègia recurrent. Coneguda com a Operació Dream Job, aquesta campanya de llarga durada utilitza diverses xarxes socials i plataformes de missatgeria instantània per distribuir programari maliciós.

En aquest esquema, l'accés inicial s'obté enganyant els objectius perquè obrin un fitxer d'imatge de disc òptic (ISO) no segur que conté tres fitxers. Un d'aquests fitxers es presenta com un client Amazon VNC ("AmazonVNC.exe"), però en realitat és una versió reanomenada d'una aplicació legítima de Windows anomenada "choice.exe". Els altres dos fitxers, anomenats "version.dll" i "aws.cfg", serveixen com a catalitzadors per iniciar el procés d'infecció. Concretament, "AmazonVNC.exe" s'utilitza per carregar "version.dll", que després genera un procés IExpress.exe i injecta una càrrega útil emmagatzemada a "aws.cfg".

Una cadena d’atac complexa en diverses etapes infecta els dispositius compromesos

La càrrega útil està dissenyada per recuperar el codi shell d'un domini C2 ("henraux.com"), que se sospita que és un lloc web compromès d'una empresa italiana especialitzada en processament de marbre i granit.

Tot i que el propòsit exacte del codi shell encara no està clar, s'informa que s'utilitza per iniciar RollFling, un carregador basat en DLL dissenyat per obtenir i executar el programari maliciós de l'etapa posterior anomenat RollSling. RollSling, identificat prèviament per Microsoft en una campanya del Grup Lazarus que explota una vulnerabilitat crítica de JetBrains TeamCity (CVE-2023-42793), s'executa directament a la memòria per evitar la detecció per part de les eines de seguretat, que representa la següent fase del procés d'infecció.

A continuació, RollMid, un altre carregador, es desplega a la memòria, encarregat de preparar l'atac i establir la comunicació amb un servidor C2 mitjançant una sèrie de passos:

• Contacteu amb el primer servidor C2 per recuperar un fitxer HTML que contingui l'adreça del segon servidor C2.

• Comuniqueu-vos amb el segon servidor C2 per recuperar una imatge PNG que conté un component nociu ocult mitjançant esteganografia.

• Transmet dades al tercer servidor C2 mitjançant l'adreça oculta des de la imatge.

• Obteniu un blob de dades codificat en Base64 addicional del tercer servidor C2, que conté el Kaolin RAT.

El grup Lazarus mostra una sofisticació significativa en l’atac de la rata de caolí

La sofisticació tècnica que hi ha darrere de la seqüència de diverses etapes, tot i que sens dubte és complexa i intricada, voreja l'excés. Els investigadors creuen que el Kaolin RAT obre el camí per al desplegament del rootkit FudModule després de configurar les comunicacions amb el servidor C2 del RAT.

A més, el programari maliciós està equipat per enumerar fitxers, dur a terme operacions de fitxers, carregar fitxers al servidor C2, alterar l'última marca de temps modificada d'un fitxer, enumerar, crear i finalitzar processos, executar ordres mitjançant cmd.exe, descarregar fitxers DLL del fitxer DLL. servidor C2 i connecteu-vos a un host arbitrari.

El grup Lazarus es va dirigir als individus mitjançant ofertes de treball fabricades i va utilitzar un conjunt d'eines sofisticades per aconseguir una millor persistència mentre passava per alt els productes de seguretat. És evident que van invertir recursos importants en el desenvolupament d'una cadena d'atac tan complexa. El que és cert és que Lazarus va haver d'innovar contínuament i destinar enormes recursos per investigar diversos aspectes de mitigacions i productes de seguretat de Windows. La seva capacitat d'adaptació i evolució suposa un repte important per als esforços de ciberseguretat.