Kaolin RAT vinculado al grupo norcoreano Lazarus APT

El Grupo Lazarus, asociado con Corea del Norte, utilizó tácticas familiares que incluían ofertas de trabajo falsas para distribuir un nuevo troyano de acceso remoto (RAT) llamado Kaolin RAT durante ataques dirigidos a individuos específicos en Asia en el verano de 2023.

Según el investigador de seguridad de Avast, Luigino Camastra, el RAT, además de sus funcionalidades estándar, podría modificar las marcas de tiempo de los archivos y cargar archivos binarios DLL desde un servidor de comando y control (C2).

La RAT se utilizó para introducir el rootkit FudModule, que aprovechó una vulnerabilidad parcheada de administrador a kernel en el controlador appid.sys (CVE-2024-21338, puntuación CVSS: 7,8) para obtener acceso a nivel de kernel y desactivar las medidas de seguridad.

El uso por parte del Grupo Lazarus de cebos de ofertas de trabajo para infiltrarse en objetivos es parte de una campaña llamada Operación Dream Job, que ha empleado redes sociales y plataformas de mensajería instantánea para distribuir malware durante un período prolongado.

El malware viene en un archivo ISO comprometido

En este esquema, las víctimas, sin saberlo, inician un archivo de imagen de disco óptico (ISO) malicioso que contiene tres archivos. Un archivo, que se hace pasar por un cliente de Amazon VNC ("AmazonVNC.exe"), es en realidad una versión renombrada de una aplicación legítima de Windows ("choice.exe"). Los otros archivos, "version.dll" y "aws.cfg", inician la cadena de infección. "AmazonVNC.exe" carga "version.dll", que a su vez inicia un proceso para inyectar una carga útil desde "aws.cfg".

La carga útil se conecta a un dominio de comando y control (C2) ("henraux[.]com"), un sitio web potencialmente comprometido que pertenece a una empresa italiana. Esta carga útil descarga el código shell para iniciar RollFling, un cargador para el malware de siguiente etapa RollSling, vinculado anteriormente a las actividades del Grupo Lazarus que explotan una vulnerabilidad de JetBrains TeamCity (CVE-2023-42793, puntuación CVSS: 9,8).

RollSling se ejecuta en la memoria para evadir la detección e inicia RollMid, un cargador que contacta una serie de servidores C2 en un proceso de varios pasos para establecer comunicaciones.

En última instancia, esta secuencia conduce a la implementación de Kaolin RAT y posteriormente del rootkit FudModule, lo que permite una variedad de actividades maliciosas como manipulación de archivos, enumeración de procesos, ejecución de comandos y comunicación con hosts externos.

En Zaib
April 29, 2024
Computer Security
Spanish
April 29, 2024
Computer Security

Entradas populares

Error: Estafa emergente Ox800VDS

Hace 1 month

Aplicación Softcnapp potencialmente no deseada

Hace 3 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 9 months

Troyano de servicio Alrucs

Hace 26 days

Alludesgroup.com intenta deslizarle anuncios

Hace 19 days

Página engañosa de Nosa.co.in

Hace 12 days
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.