Kaolino RAT, susietas su Šiaurės Korėjos Lazarus Group APT

„Lazarus Group“, susijusi su Šiaurės Korėja, 2023 m. vasarą naudojo pažįstamą taktiką, susijusią su suklastotais darbo pasiūlymais, kad platintų naują nuotolinės prieigos trojos arklį (RAT), vadinamą Kaolin RAT, per atakas, nukreiptas prieš konkrečius asmenis Azijoje.

Pasak Avast saugumo tyrinėtojo Luigino Camastra, RAT, be standartinių funkcijų, gali keisti failų laiko žymes ir įkelti DLL dvejetainius failus iš komandų ir valdymo (C2) serverio.

RAT buvo naudojamas pristatyti „FudModule“ šaknų rinkinį, kuris išnaudojo pataisytą administratoriaus ir branduolio pažeidžiamumą appid.sys tvarkyklėje (CVE-2024-21338, CVSS balas: 7,8), kad gautų branduolio lygio prieigą ir išjungtų saugos priemones.

„Lazarus Group“ naudoja darbo pasiūlymų masalus, kad įsiskverbtų į taikinius, yra dalis kampanijos „Operation Dream Job“, kurios metu buvo naudojama socialinė žiniasklaida ir momentinių pranešimų platformos, skirtos kenkėjiškoms programoms platinti ilgą laiką.

Kenkėjiška programa patenka į pažeistą ISO failą

Pagal šią schemą aukos nesąmoningai paleidžia kenkėjiško optinio disko vaizdo (ISO) failą, kuriame yra trys failai. Vienas failas, vaizduojamas kaip „Amazon VNC“ klientas („AmazonVNC.exe“), iš tikrųjų yra pervadinta teisėtos „Windows“ programos versija („choice.exe“). Kiti failai, „version.dll“ ir „aws.cfg“, inicijuoja užkrėtimo grandinę. „AmazonVNC.exe“ įkelia „version.dll“, kuris savo ruožtu paleidžia naudingosios apkrovos iš „aws.cfg“ įterpimo procesą.

Naudinga apkrova prisijungia prie komandų ir valdymo (C2) domeno („henraux[.]com“), galimai pažeistos svetainės, priklausančios Italijos įmonei. Šis naudingas krovinys atsisiunčia apvalkalo kodą, kad inicijuotų „RollFling“ – naujos pakopos kenkėjiškos programos „RollSling“ įkroviklį, anksčiau susietą su „Lazarus Group“ veikla, išnaudojančia „JetBrains TeamCity“ pažeidžiamumą (CVE-2023-42793, CVSS balas: 9,8).

„RollSling“ vykdo atmintyje, kad išvengtų aptikimo, ir inicijuoja „RollMid“ – įkroviklį, kuris kelių etapų procese susisiekia su C2 serverių serija, kad užmegztų ryšį.

Galiausiai ši seka veda į Kaolin RAT, o vėliau ir FudModule rootkit diegimą, leidžiantį atlikti daugybę kenkėjiškų veiksmų, tokių kaip failų manipuliavimas, procesų išvardijimas, komandų vykdymas ir ryšys su išoriniais pagrindiniais kompiuteriais.