Kaolin RAT vinculado al grupo norcoreano Lazarus APT
El Grupo Lazarus, asociado con Corea del Norte, utilizó tácticas familiares que incluían ofertas de trabajo falsas para distribuir un nuevo troyano de acceso remoto (RAT) llamado Kaolin RAT durante ataques dirigidos a individuos específicos en Asia en el verano de 2023.
Según el investigador de seguridad de Avast, Luigino Camastra, el RAT, además de sus funcionalidades estándar, podría modificar las marcas de tiempo de los archivos y cargar archivos binarios DLL desde un servidor de comando y control (C2).
La RAT se utilizó para introducir el rootkit FudModule, que aprovechó una vulnerabilidad parcheada de administrador a kernel en el controlador appid.sys (CVE-2024-21338, puntuación CVSS: 7,8) para obtener acceso a nivel de kernel y desactivar las medidas de seguridad.
El uso por parte del Grupo Lazarus de cebos de ofertas de trabajo para infiltrarse en objetivos es parte de una campaña llamada Operación Dream Job, que ha empleado redes sociales y plataformas de mensajería instantánea para distribuir malware durante un período prolongado.
El malware viene en un archivo ISO comprometido
En este esquema, las víctimas, sin saberlo, inician un archivo de imagen de disco óptico (ISO) malicioso que contiene tres archivos. Un archivo, que se hace pasar por un cliente de Amazon VNC ("AmazonVNC.exe"), es en realidad una versión renombrada de una aplicación legítima de Windows ("choice.exe"). Los otros archivos, "version.dll" y "aws.cfg", inician la cadena de infección. "AmazonVNC.exe" carga "version.dll", que a su vez inicia un proceso para inyectar una carga útil desde "aws.cfg".
La carga útil se conecta a un dominio de comando y control (C2) ("henraux[.]com"), un sitio web potencialmente comprometido que pertenece a una empresa italiana. Esta carga útil descarga el código shell para iniciar RollFling, un cargador para el malware de siguiente etapa RollSling, vinculado anteriormente a las actividades del Grupo Lazarus que explotan una vulnerabilidad de JetBrains TeamCity (CVE-2023-42793, puntuación CVSS: 9,8).
RollSling se ejecuta en la memoria para evadir la detección e inicia RollMid, un cargador que contacta una serie de servidores C2 en un proceso de varios pasos para establecer comunicaciones.
En última instancia, esta secuencia conduce a la implementación de Kaolin RAT y posteriormente del rootkit FudModule, lo que permite una variedad de actividades maliciosas como manipulación de archivos, enumeración de procesos, ejecución de comandos y comunicación con hosts externos.