カオリンRATは北朝鮮のラザルスグループAPTと関連している

北朝鮮と関係のあるラザルスグループは、2023年夏にアジアの特定の個人を狙った攻撃の際に、偽の求人情報というおなじみの手法を使って、Kaolin RATと呼ばれる新しいリモートアクセス型トロイの木馬（RAT）を配布しました。

Avast のセキュリティ研究者 Luigino Camastra 氏によると、RAT は標準機能の他に、ファイルのタイムスタンプを変更したり、コマンド アンド コントロール (C2) サーバーから DLL バイナリをロードしたりする可能性があるとのことです。

この RAT は FudModule ルートキットを導入するために使用され、appid.sys ドライバーのパッチ適用済みの管理者からカーネルへの脆弱性 (CVE-2024-21338、CVSS スコア: 7.8) を悪用してカーネルレベルのアクセスを取得し、セキュリティ対策を無効にしました。

ラザルス・グループがターゲットに侵入するために求人広告を利用するのは、「オペレーション・ドリーム・ジョブ」と呼ばれるキャンペーンの一環であり、このキャンペーンでは長期間にわたり、ソーシャル メディアやインスタント メッセージング プラットフォームを利用してマルウェアを配布している。

マルウェアは侵害された ISO ファイルに潜む

このスキームでは、被害者は 3 つのファイルを含む悪意のある光ディスク イメージ (ISO) ファイルを無意識のうちに起動します。Amazon VNC クライアントを装った 1 つのファイル (「AmazonVNC.exe」) は、実際には正規の Windows アプリケーション (「choice.exe」) の名前を変更したバージョンです。他のファイル「version.dll」と「aws.cfg」が感染チェーンを開始します。「AmazonVNC.exe」は「version.dll」をロードし、次に「aws.cfg」からペイロードを挿入するプロセスを起動します。

ペイロードは、コマンド アンド コントロール (C2) ドメイン ("henraux[.]com") に接続します。これは、イタリアの企業の侵害された Web サイトである可能性があります。このペイロードは、シェルコードをダウンロードして RollFling を起動します。RollFling は、以前、JetBrains TeamCity の脆弱性 (CVE-2023-42793、CVSS スコア: 9.8) を悪用する Lazarus Group の活動に関連付けられた、次の段階のマルウェア RollSling のローダーです。

RollSling は検出を回避するためにメモリ内で実行され、RollMid を開始します。RollMid は、複数のステップのプロセスで一連の C2 サーバーに接続して通信を確立するローダーです。

最終的に、このシーケンスにより Kaolin RAT が展開され、続いて FudModule ルートキットが展開され、ファイル操作、プロセス列挙、コマンド実行、外部ホストとの通信などのさまざまな悪意のあるアクティビティが可能になります。