Kaolin RAT
Lazarus Group ដែលជាអង្គភាពគម្រាមកំហែងតាមអ៊ីនធឺណិតដែលភ្ជាប់ទៅនឹងប្រទេសកូរ៉េខាងជើងបានប្រើប្រាស់អន្ទាក់ទាក់ទងនឹងការងារដែលធ្លាប់ស្គាល់ដើម្បីចែកចាយ Trojan ថ្មីពីចម្ងាយ (RAT) ដែលមានឈ្មោះថា Kaolin RAT ក្នុងអំឡុងពេលវាយប្រហារគោលដៅលើបុគ្គលជាក់លាក់នៅក្នុងតំបន់អាស៊ីក្នុងរដូវក្តៅឆ្នាំ 2023 ។
មេរោគនេះ បន្ថែមពីលើមុខងារ RAT ធម្មតា មានសមត្ថភាពកែប្រែការសរសេរចុងក្រោយនៃឯកសារដែលបានជ្រើសរើស និងផ្ទុកប្រព័ន្ធគោលពីរ DLL ដែលបានផ្តល់ឱ្យពីម៉ាស៊ីនមេ Command-and-Control (C2) ។ RAT បានបម្រើការជាច្រកមួយដើម្បីដាក់ពង្រាយ FudModule rootkit ដែលថ្មីៗនេះត្រូវបានគេសង្កេតឃើញដោយប្រើការកេងប្រវ័ញ្ចពីអ្នកគ្រប់គ្រងទៅខឺណែលនៅក្នុងកម្មវិធីបញ្ជា appid.sys (CVE-2024-21338) ដើម្បីទទួលបានសមត្ថភាពអាន/សរសេរខឺណែល និងបិទវិធានការសុវត្ថិភាពជាបន្តបន្ទាប់។ .
តារាងមាតិកា
ការផ្តល់ជូនការងារក្លែងក្លាយ ប្រើជាល្បិចសម្រាប់ដាក់ពង្រាយ Kaolin RAT
ការប្រើប្រាស់នុយនៃការផ្តល់ជូនការងាររបស់ Lazarus Group សម្រាប់ការជ្រៀតចូលគោលដៅ គឺជាយុទ្ធសាស្ត្រដែលកើតឡើងដដែលៗ។ ត្រូវបានគេស្គាល់ថាជា Operation Dream Job យុទ្ធនាការដ៏យូរអង្វែងនេះប្រើប្រាស់ប្រព័ន្ធផ្សព្វផ្សាយសង្គម និងវេទិកាផ្ញើសារភ្លាមៗដើម្បីចែកចាយមេរោគ។
នៅក្នុងគ្រោងការណ៍នេះ ការចូលប្រើដំបូងត្រូវបានទទួលបានដោយការបញ្ឆោតគោលដៅក្នុងការបើកឯកសាររូបភាពឌីសអុបទិកដែលមិនមានសុវត្ថិភាព (ISO) ដែលមានឯកសារបី។ ឯកសារមួយក្នុងចំនោមឯកសារទាំងនេះជាអតិថិជន Amazon VNC ('AmazonVNC.exe') ប៉ុន្តែតាមពិតវាគឺជាកំណែប្តូរឈ្មោះនៃកម្មវិធី Windows ស្របច្បាប់ដែលហៅថា 'choice.exe'។ ឯកសារពីរផ្សេងទៀតដែលមានឈ្មោះថា 'version.dll' និង 'aws.cfg' បម្រើជាកាតាលីករដើម្បីចាប់ផ្តើមដំណើរការឆ្លង។ ជាពិសេស 'AmazonVNC.exe' ត្រូវបានប្រើដើម្បីផ្ទុក 'version.dll' ដែលបន្ទាប់មកបង្កើតដំណើរការ IExpress.exe ហើយចាក់បញ្ចូលបន្ទុកដែលផ្ទុកក្នុង 'aws.cfg ។'
ខ្សែសង្វាក់វាយប្រហារពហុដំណាក់កាលស្មុគ្រស្មាញ ប៉ះពាល់ដល់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួល
payload នេះត្រូវបានវិស្វកម្មដើម្បីទាញយក shellcode ពី C2 domain ('henraux.com') ដែលសង្ស័យថាជាគេហទំព័រសម្របសម្រួលរបស់ក្រុមហ៊ុនអ៊ីតាលីដែលមានឯកទេសខាងកែច្នៃថ្មម៉ាប និងថ្មក្រានីត។
ទោះបីជាគោលបំណងពិតប្រាកដនៃកូដសែលនៅតែមិនច្បាស់លាស់ក៏ដោយ វាត្រូវបានគេរាយការណ៍ថាត្រូវបានប្រើដើម្បីផ្តួចផ្តើម RollFling ដែលជាកម្មវិធីផ្ទុកទិន្នន័យដែលមានមូលដ្ឋានលើ DLL ដែលត្រូវបានរចនាឡើងដើម្បីទទួលបាន និងប្រតិបត្តិមេរោគដំណាក់កាលបន្ទាប់ហៅថា RollSling ។ RollSling ដែលត្រូវបានកំណត់អត្តសញ្ញាណពីមុនដោយ Microsoft នៅក្នុងយុទ្ធនាការ Lazarus Group ដែលទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះ JetBrains TeamCity ដ៏សំខាន់ (CVE-2023-42793) ត្រូវបានប្រតិបត្តិដោយផ្ទាល់នៅក្នុងអង្គចងចាំ ដើម្បីជៀសវាងការរកឃើញដោយឧបករណ៍សុវត្ថិភាព ដែលតំណាងឱ្យដំណាក់កាលបន្ទាប់នៃដំណើរការឆ្លង។
RollMid ដែលជាកម្មវិធីផ្ទុកមួយផ្សេងទៀត ត្រូវបានដាក់ពង្រាយក្នុងអង្គចងចាំ ដែលផ្តល់ភារកិច្ចក្នុងការរៀបចំសម្រាប់ការវាយប្រហារ និងបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 តាមរយៈជំហានជាច្រើន៖
- ទាក់ទងម៉ាស៊ីនមេ C2 ដំបូងដើម្បីទាញយកឯកសារ HTML ដែលមានអាសយដ្ឋានរបស់ម៉ាស៊ីនមេ C2 ទីពីរ។
ក្រុម Lazarus បង្ហាញភាពឆ្លាតវៃដ៏សំខាន់នៅក្នុងការវាយប្រហារ Kaolin RAT
ភាពស្មុគ្រស្មាញផ្នែកបច្ចេកទេសនៅពីក្រោយលំដាប់ពហុដំណាក់កាល ខណៈពេលដែលគ្មានការសង្ស័យ និងស្មុគ្រស្មាញ ជាប់ព្រំដែនលើការសម្លាប់លើសទម្ងន់។ អ្នកស្រាវជ្រាវជឿថា Kaolin RAT ត្រួសត្រាយផ្លូវសម្រាប់ការដាក់ពង្រាយ FudModule rootkit បន្ទាប់ពីរៀបចំទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 របស់ RAT ។
បន្ថែមពីលើនេះ មេរោគត្រូវបានបំពាក់ដើម្បីរាប់ឯកសារ អនុវត្តប្រតិបត្តិការឯកសារ ផ្ទុកឯកសារឡើងទៅកាន់ម៉ាស៊ីនមេ C2 កែប្រែពេលវេលាដែលបានកែប្រែចុងក្រោយរបស់ឯកសារ រាប់បញ្ចូល បង្កើត និងបញ្ចប់ដំណើរការ ប្រតិបត្តិពាក្យបញ្ជាដោយប្រើ cmd.exe ទាញយកឯកសារ DLL ពី ម៉ាស៊ីនមេ C2 ហើយភ្ជាប់ទៅម៉ាស៊ីនដែលបំពាន។
ក្រុម Lazarus បានកំណត់គោលដៅបុគ្គលតាមរយៈការផ្តល់ជូនការងារដែលប្រឌិត និងបានប្រើប្រាស់ឧបករណ៍ទំនើបៗ ដើម្បីសម្រេចបាននូវភាពស្ថិតស្ថេរកាន់តែប្រសើរឡើង ខណៈពេលដែលឆ្លងកាត់ផលិតផលសុវត្ថិភាព។ វាជាភស្តុតាងដែលថាពួកគេបានវិនិយោគធនធានសំខាន់ៗក្នុងការអភិវឌ្ឍខ្សែសង្វាក់ការវាយប្រហារដ៏ស្មុគស្មាញបែបនេះ។ អ្វីដែលប្រាកដនោះគឺថា Lazarus ត្រូវបង្កើតថ្មីជាបន្តបន្ទាប់ និងបែងចែកធនធានយ៉ាងសម្បើមដើម្បីស្រាវជ្រាវទិដ្ឋភាពផ្សេងៗនៃការកាត់បន្ថយ Windows និងផលិតផលសុវត្ថិភាព។ សមត្ថភាពរបស់ពួកគេក្នុងការសម្របខ្លួន និងវិវឌ្ឍ បង្កបញ្ហាប្រឈមយ៉ាងសំខាន់ចំពោះកិច្ចខិតខំប្រឹងប្រែងផ្នែកសន្តិសុខតាមអ៊ីនធឺណិត។
