Kaolin RAT Az észak-koreai Lazarus Group APT-hez kapcsolódik

Az Észak-Koreával kapcsolatban álló Lazarus Group ismert taktikákat alkalmazva, hamis állásajánlatokat alkalmazva a Kaolin RAT nevű új távoli hozzáférésű trójai (RAT) terjesztésére 2023 nyarán bizonyos személyeket ért ázsiai támadások során.

Luigino Camastra, az Avast biztonsági kutatója szerint a RAT szabványos funkcionalitásain kívül módosíthatja a fájlok időbélyegeit, és betöltheti a DLL bináris fájlokat egy parancs- és vezérlőkiszolgálóról (C2).

A RAT-ot a FudModule rootkit bevezetésére használták, amely kihasználta az appid.sys illesztőprogram (CVE-2024-21338, CVSS pontszám: 7,8) javított adminisztrátorok közötti sebezhetőségét, hogy kernelszintű hozzáférést szerezzen és letiltja a biztonsági intézkedéseket.

A Lazarus Group állásajánlat-csalik segítségével a célpontok behatolására az Operation Dream Job nevű kampány része, amely közösségi médiát és azonnali üzenetküldő platformokat használt a rosszindulatú programok hosszabb időn keresztüli terjesztésére.

A rosszindulatú program feltört ISO fájlban érkezik

Ebben a sémában az áldozatok akaratlanul is elindítanak egy rosszindulatú optikai lemez képfájlt (ISO), amely három fájlt tartalmaz. Az egyik fájl, amely Amazon VNC-kliensnek ("AmazonVNC.exe") tűnik, valójában egy legitim Windows-alkalmazás átnevezett verziója ("choice.exe"). A többi fájl, a "version.dll" és az "aws.cfg" elindítja a fertőzési láncot. Az "AmazonVNC.exe" betölti a "version.dll" fájlt, amely viszont elindít egy folyamatot, amely az "aws.cfg" fájlból rakományt injektál.

A hasznos adat egy parancs- és vezérlési (C2) tartományhoz ("henraux[.]com") csatlakozik, amely valószínűleg egy olasz céghez tartozó, feltört webhelyhez tartozik. Ez a rakomány letölti a shellkódot, hogy elindítsa a RollFling programot, a RollSling következő szintű rosszindulatú program betöltőjét, amely korábban a Lazarus Group tevékenységeihez kapcsolódott, és kihasználja a JetBrains TeamCity sebezhetőségét (CVE-2023-42793, CVSS pontszám: 9,8).

A RollSling a memóriában hajtja végre az észlelést, és elindítja a RollMid-et, egy betöltőt, amely többlépcsős folyamatban kapcsolatba lép egy sor C2-kiszolgálóval a kommunikáció létrehozása érdekében.

Végső soron ez a sorozat a Kaolin RAT, majd a FudModule rootkit telepítéséhez vezet, lehetővé téve számos rosszindulatú tevékenységet, mint például a fájlkezelés, a folyamatok felsorolása, a parancsok végrehajtása és a külső gazdagépekkel való kommunikáció.