Kaolin RAT
Tập đoàn Lazarus, một tổ chức đe dọa mạng có liên hệ với Triều Tiên, đã sử dụng các bẫy quen thuộc liên quan đến công việc để phát tán Trojan truy cập từ xa (RAT) mới có tên Kaolin RAT trong các cuộc tấn công có chủ đích vào các cá nhân cụ thể ở khu vực Châu Á vào mùa hè năm 2023.
Phần mềm độc hại này, ngoài các chức năng RAT điển hình, còn có khả năng sửa đổi dấu thời gian ghi cuối cùng của tệp đã chọn và tải bất kỳ tệp nhị phân DLL nào được cung cấp từ máy chủ Lệnh và Kiểm soát (C2). RAT đóng vai trò là cổng để triển khai rootkit FudModule, gần đây được phát hiện bằng cách sử dụng khai thác quản trị viên trong trình điều khiển appid.sys (CVE-2024-21338) để có được khả năng đọc/ghi kernel và sau đó vô hiệu hóa các biện pháp bảo mật .
Mục lục
Lời mời làm việc giả được sử dụng làm mồi nhử để triển khai Kaolin RAT
Việc Nhóm Lazarus sử dụng mồi mời chào việc làm để xâm nhập vào các mục tiêu là một chiến lược định kỳ. Được biết đến với cái tên Operation Dream Job, chiến dịch lâu đời này sử dụng nhiều nền tảng truyền thông xã hội và nhắn tin tức thời khác nhau để phát tán phần mềm độc hại.
Trong sơ đồ này, quyền truy cập ban đầu có được bằng cách đánh lừa mục tiêu mở tệp Hình ảnh Đĩa Quang (ISO) không an toàn chứa ba tệp. Một trong những tệp này đóng vai trò là ứng dụng khách Amazon VNC ('AmazonVNC.exe') nhưng thực tế là phiên bản được đổi tên của một ứng dụng Windows hợp pháp có tên là 'choice.exe.' Hai tệp còn lại, có tên là 'version.dll' và 'aws.cfg', đóng vai trò là chất xúc tác để bắt đầu quá trình lây nhiễm. Cụ thể, 'AmazonVNC.exe' được sử dụng để tải 'version.dll', sau đó tạo ra quy trình IExpress.exe và đưa vào một tải trọng được lưu trữ trong 'aws.cfg.'
Chuỗi tấn công nhiều giai đoạn phức tạp lây nhiễm vào các thiết bị bị xâm nhập
Tải trọng được thiết kế để lấy shellcode từ miền C2 ('henraux.com'), bị nghi ngờ là trang web bị xâm nhập của một công ty Ý chuyên chế biến đá cẩm thạch và đá granit.
Mặc dù mục đích chính xác của shellcode vẫn chưa rõ ràng nhưng nó được cho là được sử dụng để khởi chạy RollFling, một trình tải dựa trên DLL được thiết kế để thu thập và thực thi phần mềm độc hại giai đoạn tiếp theo có tên RollSling. RollSling, trước đây được Microsoft xác định trong chiến dịch của Lazarus Group khai thác lỗ hổng nghiêm trọng của JetBrains TeamCity (CVE-2023-42793), được thực thi trực tiếp trong bộ nhớ để tránh bị các công cụ bảo mật phát hiện, thể hiện giai đoạn tiếp theo của quá trình lây nhiễm.
RollMid, một trình tải khác, sau đó được triển khai trong bộ nhớ, có nhiệm vụ chuẩn bị cho cuộc tấn công và thiết lập liên lạc với máy chủ C2 thông qua một loạt các bước:
- Liên hệ với máy chủ C2 đầu tiên để lấy tệp HTML chứa địa chỉ của máy chủ C2 thứ hai.
- Giao tiếp với máy chủ C2 thứ hai để truy xuất hình ảnh PNG chứa thành phần có hại được che giấu bằng kỹ thuật giấu tin.
- Truyền dữ liệu đến máy chủ C2 thứ ba bằng địa chỉ ẩn từ trong ảnh.
- Tìm nạp blob dữ liệu được mã hóa Base64 bổ sung từ máy chủ C2 thứ ba, chứa Kaolin RAT.
Nhóm Lazarus thể hiện sự tinh vi đáng kể trong cuộc tấn công Kaolin RAT
Sự phức tạp về mặt kỹ thuật đằng sau trình tự nhiều giai đoạn, mặc dù chắc chắn là phức tạp và phức tạp, nhưng đã đến mức quá mức cần thiết. Các nhà nghiên cứu tin rằng Kaolin RAT mở đường cho việc triển khai rootkit FudModule sau khi thiết lập liên lạc với máy chủ C2 của RAT.
Ngoài ra, phần mềm độc hại còn được trang bị để liệt kê các tệp, thực hiện các thao tác với tệp, tải tệp lên máy chủ C2, thay đổi dấu thời gian sửa đổi lần cuối của tệp, liệt kê, tạo và chấm dứt các quy trình, thực thi lệnh bằng cmd.exe, tải xuống tệp DLL từ Máy chủ C2 và kết nối với máy chủ tùy ý.
Nhóm Lazarus nhắm mục tiêu vào các cá nhân thông qua các lời mời làm việc giả và sử dụng một bộ công cụ phức tạp để đạt được sự kiên trì tốt hơn trong khi bỏ qua các sản phẩm bảo mật. Rõ ràng là họ đã đầu tư nguồn lực đáng kể vào việc phát triển chuỗi tấn công phức tạp như vậy. Điều chắc chắn là Lazarus đã phải đổi mới liên tục và phân bổ nguồn lực khổng lồ để nghiên cứu các khía cạnh khác nhau của các sản phẩm bảo mật và giảm nhẹ Windows. Khả năng thích ứng và phát triển của họ đặt ra thách thức đáng kể cho các nỗ lực an ninh mạng.
