Kaolin RAT

Lazarus Group, en cybertrussel-enhet knyttet til Nord-Korea, brukte kjente jobbrelaterte feller for å distribuere en ny Remote Access Trojan (RAT) kalt Kaolin RAT under målrettede angrep på spesifikke individer i Asia-regionen sommeren 2023.

Denne skadelige programvaren, i tillegg til typiske RAT-funksjoner, hadde muligheten til å endre siste skrivetidsstempel for en valgt fil og laste inn en hvilken som helst oppgitt DLL-binærfil fra en Command-and-Control-server (C2). RAT fungerte som en gateway for å distribuere FudModule rootkit, som nylig ble observert ved å bruke en admin-til-kjerne-utnyttelse i appid.sys-driveren (CVE-2024-21338) for å få en kjernelese-/skriveevne og deretter deaktivere sikkerhetstiltak .

Falske jobbtilbud brukt som lokker for å distribuere Kaolin RAT

Lazarus-konsernets bruk av jobbtilbudslokk for infiltrerende mål er en tilbakevendende strategi. Denne langvarige kampanjen, kjent som Operation Dream Job, bruker ulike sosiale medier og direktemeldingsplattformer for å distribuere skadelig programvare.

I dette opplegget oppnås innledende tilgang ved å lure mål til å åpne en usikker ISO-fil (Optical Disc Image) som inneholder tre filer. En av disse filene utgjør en Amazon VNC-klient ('AmazonVNC.exe'), men er faktisk en omdøpt versjon av en legitim Windows-applikasjon kalt 'choice.exe.' De to andre filene, kalt 'version.dll' og 'aws.cfg', fungerer som katalysatorer for å starte infeksjonsprosessen. Spesielt brukes 'AmazonVNC.exe' til å laste 'version.dll', som deretter skaper en IExpress.exe-prosess og injiserer en nyttelast lagret i 'aws.cfg.'

En kompleks flertrinns angrepskjede infiserer de kompromitterte enhetene

Nyttelasten er konstruert for å hente skallkode fra et C2-domene ('henraux.com'), mistenkt for å være et kompromittert nettsted til et italiensk selskap som spesialiserer seg på marmor- og granittbehandling.

Selv om den nøyaktige hensikten med skallkoden fortsatt er uklar, brukes den angivelig til å initiere RollFling, en DLL-basert loader designet for å skaffe og utføre skadevareprogrammet RollSling i det påfølgende stadiet. RollSling, tidligere identifisert av Microsoft i en Lazarus Group-kampanje som utnytter en kritisk JetBrains TeamCity-sårbarhet (CVE-2023-42793), kjøres direkte i minnet for å unngå oppdagelse av sikkerhetsverktøy, som representerer neste fase av infeksjonsprosessen.

RollMid, en annen laster, blir deretter distribuert i minnet, som har i oppgave å forberede seg på angrepet og etablere kommunikasjon med en C2-server gjennom en rekke trinn:

• Kontakt den første C2-serveren for å hente en HTML-fil som inneholder adressen til den andre C2-serveren.

• Kommuniser med den andre C2-serveren for å hente et PNG-bilde som inneholder en skadelig komponent skjult ved hjelp av steganografi.

• Overfør data til den tredje C2-serveren ved å bruke den skjulte adressen fra bildet.

• Hent en ekstra Base64-kodet datablob fra den tredje C2-serveren, som inneholder Kaolin RAT.

Lazarus-gruppen viser betydelig sofistikering i Kaolin RAT-angrepet

Den tekniske sofistikeringen bak flertrinnssekvensen, selv om den uten tvil er kompleks og intrikat, grenser til overkill. Forskere mener at Kaolin RAT baner vei for distribusjon av FudModule rootkit etter å ha satt opp kommunikasjon med RATs C2-server.

I tillegg er skadelig programvare utstyrt for å telle opp filer, utføre filoperasjoner, laste opp filer til C2-serveren, endre en fils siste endrede tidsstempel, telle opp, opprette og avslutte prosesser, utføre kommandoer ved å bruke cmd.exe, laste ned DLL-filer fra C2-server, og koble til en vilkårlig vert.

Lazarus-gruppen målrettet enkeltpersoner gjennom fabrikkerte jobbtilbud og brukte et sofistikert verktøysett for å oppnå bedre utholdenhet samtidig som de omgikk sikkerhetsprodukter. Det er tydelig at de investerte betydelige ressurser i å utvikle en så kompleks angrepskjede. Det som er sikkert er at Lazarus måtte innovere kontinuerlig og allokere enorme ressurser for å undersøke ulike aspekter av Windows-reduksjoner og sikkerhetsprodukter. Deres evne til å tilpasse seg og utvikle seg utgjør en betydelig utfordring for cybersikkerhetsinnsatsen.