Kaolin RAT Länkad till North Korean Lazarus Group APT

Lazarus Group, associerad med Nordkorea, använde välbekanta taktiker som involverade falska jobberbjudanden för att distribuera en ny fjärråtkomsttrojan (RAT) som heter Kaolin RAT under attacker riktade mot specifika individer i Asien sommaren 2023.

Enligt Avasts säkerhetsforskare Luigino Camastra kan RAT, förutom sina standardfunktioner, modifiera filtidsstämplar och ladda DLL-binärfiler från en kommando-och-kontroll-server (C2).

RAT användes för att introducera FudModule rootkit, som utnyttjade en patchad admin-till-kärna-sårbarhet i appid.sys-drivrutinen (CVE-2024-21338, CVSS-poäng: 7,8) för att få åtkomst på kärnnivå och inaktivera säkerhetsåtgärder.

Lazarus Groups användning av beten för jobberbjudanden för att infiltrera mål är en del av en kampanj som heter Operation Dream Job, som har använt sociala medier och plattformar för snabbmeddelanden för att distribuera skadlig programvara under en längre period.

Skadlig programvara kommer i komprometterad ISO-fil

I det här schemat lanserar offren omedvetet en skadlig optisk skivbildsfil (ISO) som innehåller tre filer. En fil, som poserar som en Amazon VNC-klient ("AmazonVNC.exe"), är faktiskt en omdöpt version av en legitim Windows-applikation ("choice.exe"). De andra filerna, "version.dll" och "aws.cfg," initierar infektionskedjan. "AmazonVNC.exe" laddar "version.dll", vilket i sin tur startar en process för att injicera en nyttolast från "aws.cfg."

Nyttolasten ansluter till en kommando-och-kontroll (C2)-domän ("henraux[.]com"), potentiellt en komprometterad webbplats som tillhör ett italienskt företag. Denna nyttolast laddar ner skalkod för att initiera RollFling, en laddare för nästa steg av skadlig programvara RollSling, länkad tidigare till Lazarus Group-aktiviteter som utnyttjar en JetBrains TeamCity-sårbarhet (CVE-2023-42793, CVSS-poäng: 9,8).

RollSling körs i minnet för att undvika upptäckt och initierar RollMid, en laddare som kontaktar en serie C2-servrar i en flerstegsprocess för att upprätta kommunikation.

I slutändan leder denna sekvens till distributionen av Kaolin RAT och därefter FudModule rootkit, vilket möjliggör en rad skadliga aktiviteter som filmanipulation, processuppräkning, kommandoexekvering och kommunikation med externa värdar.