Kaolin RAT lié au groupe nord-coréen Lazarus APT

Le groupe Lazarus, associé à la Corée du Nord, a utilisé des tactiques familières impliquant de fausses offres d'emploi pour distribuer un nouveau cheval de Troie d'accès à distance (RAT) appelé Kaolin RAT lors d'attaques visant des individus spécifiques en Asie au cours de l'été 2023.

Selon Luigino Camastra, chercheur en sécurité chez Avast, le RAT, outre ses fonctionnalités standard, pourrait modifier l'horodatage des fichiers et charger les binaires DLL à partir d'un serveur de commande et de contrôle (C2).

Le RAT a été utilisé pour introduire le rootkit FudModule, qui exploitait une vulnérabilité corrigée de l'administrateur au noyau dans le pilote appid.sys (CVE-2024-21338, score CVSS : 7,8) pour obtenir un accès au niveau du noyau et désactiver les mesures de sécurité.

L'utilisation par le groupe Lazarus d'appâts d'offres d'emploi pour infiltrer des cibles fait partie d'une campagne appelée Operation Dream Job, qui a utilisé les médias sociaux et les plateformes de messagerie instantanée pour diffuser des logiciels malveillants sur une période prolongée.

Les logiciels malveillants proviennent d'un fichier ISO compromis

Dans ce schéma, les victimes lancent involontairement un fichier image de disque optique (ISO) malveillant contenant trois fichiers. Un fichier, se faisant passer pour un client Amazon VNC (« AmazonVNC.exe »), est en fait une version renommée d'une application Windows légitime (« choix.exe »). Les autres fichiers, « version.dll » et « aws.cfg », lancent la chaîne d'infection. « AmazonVNC.exe » charge « version.dll », qui à son tour lance un processus pour injecter une charge utile à partir de « aws.cfg ».

La charge utile se connecte à un domaine de commande et de contrôle (C2) (« henraux[.]com »), potentiellement un site Web compromis appartenant à une entreprise italienne. Cette charge utile télécharge le shellcode pour lancer RollFling, un chargeur pour le malware de niveau supérieur RollSling, lié précédemment aux activités du groupe Lazarus exploitant une vulnérabilité de JetBrains TeamCity (CVE-2023-42793, score CVSS : 9,8).

RollSling s'exécute en mémoire pour échapper à la détection et lance RollMid, un chargeur qui contacte une série de serveurs C2 dans un processus en plusieurs étapes pour établir des communications.

En fin de compte, cette séquence conduit au déploiement du Kaolin RAT puis du rootkit FudModule, permettant une gamme d'activités malveillantes telles que la manipulation de fichiers, l'énumération de processus, l'exécution de commandes et la communication avec des hôtes externes.

Par Zaib
April 29, 2024
Computer Security
Français
April 29, 2024
Computer Security

Articles Populaires

Erreur : arnaque contextuelle Ox800VDS

Il y a 1 month

Softcnapp Application potentiellement indésirable

Il y a 3 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 9 months

Cheval de Troie de service Alrucs

Il y a 26 days

Alludesgroup.com tente de vous glisser des publicités

Il y a 19 days

Page trompeuse de Nosa.co.in

Il y a 12 days
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.