高嶺土 RAT 與朝鮮 Lazarus 集團 APT 有關聯

與北韓有聯繫的 Lazarus 集團在 2023 年夏天針對亞洲特定個人的攻擊中，利用了常見的策略，包括虛假工作機會，分發了一種名為 Kaolin RAT 的新型遠程訪問木馬 (RAT)。

根據 Avast 安全研究員 Luigino Camastra 的說法，除了標準功能之外，RAT 還可以修改檔案時間戳並從命令和控制 (C2) 伺服器載入 DLL 二進位檔案。

RAT 用於引入 FudModule rootkit，該 rootkit 利用 appid.sys 驅動程式中已修補的管理到核心漏洞（CVE-2024-21338，CVSS 評分：7.8）來獲得核心級存取權限並停用安全措施。

Lazarus 集團利用工作機會誘餌來滲透目標，這是一項名為「夢想工作行動」的活動的一部分，該活動利用社交媒體和即時通訊平台在很長一段時間內傳播惡意軟體。

惡意軟體來自受損的 ISO 文件

在該計劃中，受害者無意中啟動了包含三個檔案的惡意光碟映像（ISO）檔案。一個偽裝成 Amazon VNC 用戶端（“AmazonVNC.exe”）的檔案實際上是合法 Windows 應用程式（“choice.exe”）的重命名版本。其他文件「version.dll」和「aws.cfg」啟動感染鏈。 “AmazonVNC.exe”載入“version.dll”，後者啟動一個進程以從“aws.cfg”注入有效負載。

有效負載連接到命令與控制 (C2) 域（“henraux[.]com”），該域可能是屬於義大利公司的受感染網站。此有效負載下載 shellcode 以啟動 RollFling，這是下一階段惡意軟體 RollSling 的加載程序，之前鏈接到利用 JetBrains TeamCity 漏洞的 Lazarus Group 活動（CVE-2023-42793，CVSS 評分：9.8）。

RollSling 在記憶體中執行以逃避偵測並啟動 RollMid，這是一個載入程序，透過多步驟流程聯繫一系列 C2 伺服器以建立通訊。

最終，該序列導致部署 Kaolin RAT 以及隨後的 FudModule rootkit，從而實現一系列惡意活動，例如檔案操作、進程枚舉、命令執行以及與外部主機的通訊。