RAT del caolino collegato al gruppo nordcoreano Lazarus APT

Il gruppo Lazarus, associato alla Corea del Nord, ha utilizzato tattiche familiari che prevedevano false offerte di lavoro per distribuire un nuovo trojan di accesso remoto (RAT) chiamato Kaolin RAT durante gli attacchi mirati a individui specifici in Asia nell'estate del 2023.

Secondo il ricercatore di sicurezza di Avast Luigino Camastra, il RAT, oltre alle sue funzionalità standard, potrebbe modificare i timestamp dei file e caricare file binari DLL da un server di comando e controllo (C2).

Il RAT è stato utilizzato per introdurre il rootkit FudModule, che sfruttava una vulnerabilità admin-to-kernel corretta nel driver appid.sys (CVE-2024-21338, punteggio CVSS: 7,8) per ottenere l'accesso a livello di kernel e disabilitare le misure di sicurezza.

L'uso da parte del Lazarus Group di esche per offerte di lavoro per infiltrarsi negli obiettivi fa parte di una campagna chiamata Operation Dream Job, che ha utilizzato social media e piattaforme di messaggistica istantanea per distribuire malware per un lungo periodo.

Il malware arriva in un file ISO compromesso

In questo schema, le vittime avviano involontariamente un file di immagine del disco ottico (ISO) dannoso contenente tre file. Un file, che si presenta come client Amazon VNC ("AmazonVNC.exe"), è in realtà una versione rinominata di un'applicazione Windows legittima ("choice.exe"). Gli altri file, "version.dll" e "aws.cfg", avviano la catena di infezione. "AmazonVNC.exe" carica "version.dll", che a sua volta avvia un processo per inserire un payload da "aws.cfg".

Il payload si collega a un dominio di comando e controllo (C2) ("henraux[.]com"), potenzialmente un sito web compromesso appartenente a un'azienda italiana. Questo payload scarica lo shellcode per avviare RollFling, un caricatore per il malware di fase successiva RollSling, collegato in precedenza alle attività del Lazarus Group che sfruttavano una vulnerabilità JetBrains TeamCity (CVE-2023-42793, punteggio CVSS: 9,8).

RollSling viene eseguito in memoria per eludere il rilevamento e avvia RollMid, un caricatore che contatta una serie di server C2 in un processo a più fasi per stabilire le comunicazioni.

Alla fine, questa sequenza porta all'implementazione del Kaolin RAT e successivamente del rootkit FudModule, consentendo una serie di attività dannose come la manipolazione dei file, l'enumerazione dei processi, l'esecuzione di comandi e la comunicazione con host esterni.