Kaolin RAT knyttet til North Korean Lazarus Group APT

Lazarus Group, der er tilknyttet Nordkorea, brugte velkendte taktikker, der involverede falske jobtilbud, til at distribuere en ny fjernadgangstrojan (RAT) kaldet Kaolin RAT under angreb rettet mod specifikke personer i Asien i sommeren 2023.

Ifølge Avast-sikkerhedsforsker Luigino Camastra kunne RAT, bortset fra dets standardfunktioner, ændre filtidsstempler og indlæse DLL-binære filer fra en kommando-og-kontrol-server (C2).

RAT blev brugt til at introducere FudModule rootkit, som udnyttede en patchet admin-til-kerne sårbarhed i appid.sys-driveren (CVE-2024-21338, CVSS-score: 7,8) for at få adgang på kerneniveau og deaktivere sikkerhedsforanstaltninger.

Lazarus-gruppens brug af lokkemad til at infiltrere mål er en del af en kampagne kaldet Operation Dream Job, som har brugt sociale medier og instant messaging-platforme til at distribuere malware over en længere periode.

Malware kommer i kompromitteret ISO-fil

I denne ordning lancerer ofre uforvarende en ondsindet optisk diskbillede (ISO)-fil, der indeholder tre filer. En fil, der udgiver sig som en Amazon VNC-klient ("AmazonVNC.exe"), er faktisk en omdøbt version af et legitimt Windows-program ("choice.exe"). De andre filer, "version.dll" og "aws.cfg," starter infektionskæden. "AmazonVNC.exe" indlæser "version.dll", som igen starter en proces til at injicere en nyttelast fra "aws.cfg."

Nyttelasten forbinder til et kommando-og-kontrol (C2) domæne ("henraux[.]com"), potentielt et kompromitteret websted, der tilhører et italiensk firma. Denne nyttelast downloader shellcode for at starte RollFling, en indlæser til næste trins malware RollSling, der tidligere var knyttet til Lazarus Group-aktiviteter, der udnytter en JetBrains TeamCity-sårbarhed (CVE-2023-42793, CVSS-score: 9,8).

RollSling kører i hukommelsen for at undgå registrering og starter RollMid, en loader, der kontakter en række C2-servere i en flertrinsproces for at etablere kommunikation.

I sidste ende fører denne sekvens til udrulning af Kaolin RAT og efterfølgende FudModule rootkit, hvilket muliggør en række ondsindede aktiviteter såsom filmanipulation, procesoptælling, kommandoudførelse og kommunikation med eksterne værter.