Kaolin RAT 与朝鲜 Lazarus Group APT 有关

与朝鲜有关的 Lazarus 集团在 2023 年夏天针对亚洲特定个人发动攻击时，利用熟悉的虚假工作机会手段传播了一种名为 Kaolin RAT 的新型远程访问木马 (RAT)。

据 Avast 安全研究员 Luigino Camastra 称，除了标准功能外，该 RAT 还可以修改文件时间戳并从命令和控制 (C2) 服务器加载 DLL 二进制文件。

该 RAT 被用于引入 FudModule 根工具包，该工具包利用 appid.sys 驱动程序中已修补的管理员到内核漏洞 (CVE-2024-21338，CVSS 分数：7.8) 来获取内核级访问权限并禁用安全措施。

拉撒路集团利用工作机会诱饵渗透目标，是“梦想工作行动”活动的一部分，该行动利用社交媒体和即时通讯平台在较长时间内传播恶意软件。

恶意软件通过受感染的 ISO 文件传播

在这个方案中，受害者在不知情的情况下启动了一个包含三个文件的恶意光盘映像 (ISO) 文件。其中一个文件伪装成 Amazon VNC 客户端（“AmazonVNC.exe”），实际上是合法 Windows 应用程序（“choice.exe”）的重命名版本。其他文件“version.dll”和“aws.cfg”启动感染链。“AmazonVNC.exe”加载“version.dll”，后者又启动一个进程，从“aws.cfg”注入有效载荷。

该有效载荷连接到命令和控制 (C2) 域（“henraux[.]com”），这可能是一家意大利公司的受感染网站。该有效载荷下载 shellcode 以启动 RollFling，这是下一阶段恶意软件 RollSling 的加载程序，之前与 Lazarus Group 利用 JetBrains TeamCity 漏洞（CVE-2023-42793，CVSS 评分：9.8）的活动有关。

RollSling 在内存中执行以逃避检测并启动 RollMid，这是一个加载器，通过多步骤过程联系一系列 C2 服务器以建立通信。

最终，该序列导致 Kaolin RAT 的部署，随后是 FudModule 根工具包的部署，从而引发一系列恶意活动，如文件操作、进程枚举、命令执行以及与外部主机的通信。