Kaolin RAT Gekoppeld aan de Noord-Koreaanse Lazarus Group APT

De Lazarus Group, geassocieerd met Noord-Korea, maakte gebruik van bekende tactieken, waaronder valse vacatures, om een nieuwe trojan voor toegang op afstand (RAT), genaamd Kaolin RAT, te verspreiden tijdens aanvallen gericht op specifieke individuen in Azië in de zomer van 2023.

Volgens Avast-beveiligingsonderzoeker Luigino Camastra zou de RAT, afgezien van de standaardfunctionaliteiten, de tijdstempels van bestanden kunnen wijzigen en binaire DLL-bestanden kunnen laden vanaf een command-and-control (C2)-server.

De RAT werd gebruikt om de FudModule-rootkit te introduceren, die misbruik maakte van een gepatchte admin-naar-kernel-kwetsbaarheid in de appid.sys-driver (CVE-2024-21338, CVSS-score: 7,8) om toegang op kernelniveau te verkrijgen en beveiligingsmaatregelen uit te schakelen.

Het gebruik van lokaas door de Lazarus Group om doelen te infiltreren maakt deel uit van een campagne genaamd Operation Dream Job, waarbij sociale media en instant messaging-platforms worden ingezet om malware gedurende een langere periode te verspreiden.

Malware wordt geleverd in een gecompromitteerd ISO-bestand

Bij dit systeem lanceren de slachtoffers onbewust een kwaadaardig optisch schijfimage-bestand (ISO) dat drie bestanden bevat. Eén bestand, dat zich voordoet als een Amazon VNC-client ("AmazonVNC.exe"), is in feite een hernoemde versie van een legitieme Windows-applicatie ("choice.exe"). De andere bestanden, "version.dll" en "aws.cfg", initiëren de infectieketen. "AmazonVNC.exe" laadt "version.dll", wat op zijn beurt een proces start om een payload van "aws.cfg" te injecteren.

De payload maakt verbinding met een command-and-control (C2)-domein ("henraux[.]com"), mogelijk een gecompromitteerde website van een Italiaans bedrijf. Deze payload downloadt shellcode om RollFling te initiëren, een lader voor de volgende fase-malware RollSling, die eerder gekoppeld was aan activiteiten van de Lazarus Group die misbruik maakten van een JetBrains TeamCity-kwetsbaarheid (CVE-2023-42793, CVSS-score: 9,8).

RollSling wordt in het geheugen uitgevoerd om detectie te omzeilen en initieert RollMid, een lader die in een uit meerdere stappen bestaand proces contact maakt met een reeks C2-servers om communicatie tot stand te brengen.

Uiteindelijk leidt deze reeks tot de inzet van de Kaolin RAT en vervolgens de FudModule-rootkit, waardoor een reeks kwaadaardige activiteiten mogelijk wordt gemaakt, zoals bestandsmanipulatie, procesopsomming, uitvoering van opdrachten en communicatie met externe hosts.