Kaolin RAT связана с северокорейской Lazarus Group APT

Группа Lazarus, связанная с Северной Кореей, использовала знакомую тактику, включающую фейковые предложения о работе, для распространения нового трояна удаленного доступа (RAT) под названием Kaolin RAT во время атак, направленных на конкретных лиц в Азии летом 2023 года.

По словам исследователя безопасности Avast Луиджино Камастра, RAT, помимо своих стандартных функций, может изменять временные метки файлов и загружать двоичные файлы DLL с сервера управления и контроля (C2).

RAT использовался для внедрения руткита FudModule, который использовал исправленную уязвимость между администратором и ядром в драйвере appid.sys (CVE-2024-21338, оценка CVSS: 7,8) для получения доступа на уровне ядра и отключения мер безопасности.

Использование Lazarus Group приманок с предложениями о работе для проникновения в цели является частью кампании под названием Operation Dream Job, в рамках которой социальные сети и платформы обмена мгновенными сообщениями использовались для распространения вредоносного ПО в течение длительного периода.

Вредоносное ПО поставляется в скомпрометированном ISO-файле

В этой схеме жертвы невольно запускают вредоносный файл образа оптического диска (ISO), содержащий три файла. Один файл, выдающий себя за клиент Amazon VNC («AmazonVNC.exe»), на самом деле является переименованной версией легального приложения Windows («choice.exe»). Другие файлы, «version.dll» и «aws.cfg», инициируют цепочку заражения. «AmazonVNC.exe» загружает «version.dll», который, в свою очередь, запускает процесс внедрения полезных данных из «aws.cfg».

Полезная нагрузка подключается к домену управления и контроля (C2) («henraux[.]com»), потенциально взломанному веб-сайту, принадлежащему итальянской компании. Эта полезная нагрузка загружает шелл-код для запуска RollFling, загрузчика вредоносного ПО следующей стадии RollSling, ранее связанного с деятельностью Lazarus Group, использующей уязвимость JetBrains TeamCity (CVE-2023-42793, оценка CVSS: 9,8).

RollSling выполняется в памяти, чтобы избежать обнаружения, и запускает RollMid, загрузчик, который связывается с рядом серверов C2 в многоэтапном процессе для установления связи.

В конечном итоге эта последовательность действий приводит к развертыванию Kaolin RAT, а затем и руткита FudModule, что позволяет осуществлять ряд вредоносных действий, таких как манипулирование файлами, перечисление процессов, выполнение команд и связь с внешними хостами.