Kaolin RAT

קבוצת Lazarus, ישות איומי סייבר הקשורה לקוריאה הצפונית, השתמשה במלכודות מוכרות הקשורות לעבודה כדי להפיץ טרויאני חדש של גישה מרחוק (RAT) בשם Kaolin RAT במהלך התקפות ממוקדות על אנשים ספציפיים באזור אסיה בקיץ 2023.

תוכנה זדונית זו, בנוסף לפונקציונליות טיפוסית של RAT, הייתה בעלת יכולת לשנות את חותמת הזמן האחרונה לכתיבה של קובץ שנבחר ולטעון כל DLL בינארי שסופק משרת Command-and-Control (C2). ה-RAT שימש כשער לפריסת ה-Rootkit FudModule, אשר נצפתה לאחרונה באמצעות שימוש ב-admin-to-kernel במנהל ההתקן appid.sys (CVE-2024-21338) כדי להשיג יכולת קריאה/כתיבה של ליבה ובהמשך להשבית אמצעי אבטחה .

הצעות עבודה מזויפות המשמשות כפתויים לפריסת ה-Kaolin RAT

השימוש של קבוצת לזרוס בפתיונות של הצעות עבודה למטרות חודרות הוא אסטרטגיה שחוזרת על עצמה. מסע פרסום ותיק זה, המכונה Operation Dream Job, משתמש במדיה חברתית ופלטפורמות הודעות מיידיות שונות כדי להפיץ תוכנות זדוניות.

בתכנית זו, גישה ראשונית מושגת על ידי הטעיית מטרות לפתיחת קובץ תמונת דיסק אופטי (ISO) לא בטוח המכיל שלושה קבצים. אחד מהקבצים הללו מתחזה ללקוח VNC של אמזון ('AmazonVNC.exe') אבל הוא למעשה גרסה ששונה שם של יישום Windows לגיטימי בשם 'choice.exe'. שני הקבצים האחרים, בשם 'version.dll' ו-'aws.cfg', משמשים כזרזים לתחילת תהליך ההדבקה. באופן ספציפי, 'AmazonVNC.exe' משמש לטעינת 'version.dll', אשר מולידה תהליך IExpress.exe ומחדיר מטען המאוחסן בתוך 'aws.cfg'.

שרשרת תקיפה מורכבת רב-שלבית מדביקה את המכשירים שנפגעו

המטען מתוכנן כדי לאחזר קוד מעטפת מדומיין C2 ('henraux.com'), החשוד כאתר אינטרנט שנפגע של חברה איטלקית המתמחה בעיבוד שיש וגרניט.

למרות שהמטרה המדויקת של קוד המעטפת עדיין לא ברורה, לפי הדיווחים הוא משמש להפעלת RollFling, טוען מבוסס DLL שנועד להשיג ולהפעיל את התוכנה הזדונית בשלב הבא בשם RollSling. RollSling, שזוהה בעבר על ידי מיקרוסופט במסע פרסום של קבוצת Lazarus המנצל פגיעות קריטית של JetBrains TeamCity (CVE-2023-42793), מבוצע ישירות בזיכרון כדי למנוע זיהוי על ידי כלי אבטחה, המייצגים את השלב הבא של תהליך ההדבקה.

RollMid, מטעין נוסף, נפרס לאחר מכן בזיכרון, עם המשימה להתכונן למתקפה וליצור תקשורת עם שרת C2 באמצעות סדרה של שלבים:

• פנה לשרת C2 הראשון כדי לאחזר קובץ HTML המכיל את הכתובת של שרת C2 השני.

• צור קשר עם שרת ה-C2 השני כדי לאחזר תמונת PNG המכילה רכיב מזיק הנסתר באמצעות סטגנוגרפיה.

• העבר נתונים לשרת C2 השלישי באמצעות הכתובת הנסתרת מתוך התמונה.

• אחזר גוש נתונים נוסף מקודד Base64 משרת C2 השלישי, המכיל את Kaolin RAT.

קבוצת לזרוס הפגינה תחכום משמעותי בהתקפת חולדות קאולין

התחכום הטכני שמאחורי הרצף הרב-שלבי, למרות שאין ספק שהוא מורכב ומסובך, גובל בהיגיון מוגזם. חוקרים מאמינים כי ה-Kaolin RAT סולל את הדרך לפריסה של ה-FudModule rootkit לאחר הגדרת תקשורת עם שרת C2 של RAT.

בנוסף, התוכנה הזדונית מצוידת למנות קבצים, לבצע פעולות קבצים, להעלות קבצים לשרת C2, לשנות את חותמת הזמן האחרונה של קובץ, למנות, ליצור ולסיים תהליכים, לבצע פקודות באמצעות cmd.exe, להוריד קבצי DLL מהקובץ שרת C2, והתחבר למארח שרירותי.

קבוצת לזרוס פנתה לאנשים באמצעות הצעות עבודה מפוברקות והשתמשה בערכת כלים מתוחכמת כדי להשיג התמדה טובה יותר תוך עקיפת מוצרי אבטחה. ניכר שהם השקיעו משאבים משמעותיים בפיתוח שרשרת תקיפה כה מורכבת. מה שבטוח הוא שלזרוס נאלץ לחדש באופן רציף ולהקצות משאבים אדירים כדי לחקור היבטים שונים של מיכוי Windows ומוצרי אבטחה. היכולת שלהם להסתגל ולהתפתח מציבה אתגר משמעותי למאמצי אבטחת הסייבר.