Kaolin RAT lié au groupe nord-coréen Lazarus APT
Le groupe Lazarus, associé à la Corée du Nord, a utilisé des tactiques familières impliquant de fausses offres d'emploi pour distribuer un nouveau cheval de Troie d'accès à distance (RAT) appelé Kaolin RAT lors d'attaques visant des individus spécifiques en Asie au cours de l'été 2023.
Selon Luigino Camastra, chercheur en sécurité chez Avast, le RAT, outre ses fonctionnalités standard, pourrait modifier l'horodatage des fichiers et charger les binaires DLL à partir d'un serveur de commande et de contrôle (C2).
Le RAT a été utilisé pour introduire le rootkit FudModule, qui exploitait une vulnérabilité corrigée de l'administrateur au noyau dans le pilote appid.sys (CVE-2024-21338, score CVSS : 7,8) pour obtenir un accès au niveau du noyau et désactiver les mesures de sécurité.
L'utilisation par le groupe Lazarus d'appâts d'offres d'emploi pour infiltrer des cibles fait partie d'une campagne appelée Operation Dream Job, qui a utilisé les médias sociaux et les plateformes de messagerie instantanée pour diffuser des logiciels malveillants sur une période prolongée.
Les logiciels malveillants proviennent d'un fichier ISO compromis
Dans ce schéma, les victimes lancent involontairement un fichier image de disque optique (ISO) malveillant contenant trois fichiers. Un fichier, se faisant passer pour un client Amazon VNC (« AmazonVNC.exe »), est en fait une version renommée d'une application Windows légitime (« choix.exe »). Les autres fichiers, « version.dll » et « aws.cfg », lancent la chaîne d'infection. « AmazonVNC.exe » charge « version.dll », qui à son tour lance un processus pour injecter une charge utile à partir de « aws.cfg ».
La charge utile se connecte à un domaine de commande et de contrôle (C2) (« henraux[.]com »), potentiellement un site Web compromis appartenant à une entreprise italienne. Cette charge utile télécharge le shellcode pour lancer RollFling, un chargeur pour le malware de niveau supérieur RollSling, lié précédemment aux activités du groupe Lazarus exploitant une vulnérabilité de JetBrains TeamCity (CVE-2023-42793, score CVSS : 9,8).
RollSling s'exécute en mémoire pour échapper à la détection et lance RollMid, un chargeur qui contacte une série de serveurs C2 dans un processus en plusieurs étapes pour établir des communications.
En fin de compte, cette séquence conduit au déploiement du Kaolin RAT puis du rootkit FudModule, permettant une gamme d'activités malveillantes telles que la manipulation de fichiers, l'énumération de processus, l'exécution de commandes et la communication avec des hôtes externes.