Kaolin RAT Συνδέεται με τη Βόρεια Κορέα Lazarus Group APT
Το Lazarus Group, που σχετίζεται με τη Βόρεια Κορέα, χρησιμοποίησε γνωστές τακτικές που περιελάμβαναν ψεύτικες προσφορές εργασίας για τη διανομή ενός νέου trojan απομακρυσμένης πρόσβασης (RAT) που ονομάζεται Kaolin RAT κατά τη διάρκεια επιθέσεων που στόχευαν σε συγκεκριμένα άτομα στην Ασία το καλοκαίρι του 2023.
Σύμφωνα με τον ερευνητή ασφάλειας της Avast, Luigino Camastra, το RAT, εκτός από τις τυπικές του λειτουργίες, θα μπορούσε να τροποποιήσει τις χρονικές σημάνσεις αρχείων και να φορτώσει δυαδικά αρχεία DLL από έναν διακομιστή εντολών και ελέγχου (C2).
Το RAT χρησιμοποιήθηκε για την εισαγωγή του rootkit FudModule, το οποίο εκμεταλλεύτηκε μια επιδιορθωμένη ευπάθεια διαχειριστή σε πυρήνα στο πρόγραμμα οδήγησης appid.sys (CVE-2024-21338, βαθμολογία CVSS: 7.8) για να αποκτήσει πρόσβαση σε επίπεδο πυρήνα και να απενεργοποιήσει τα μέτρα ασφαλείας.
Η χρήση δολωμάτων προσφοράς εργασίας από τον Όμιλο Lazarus για διείσδυση στόχων είναι μέρος μιας εκστρατείας που ονομάζεται Operation Dream Job, η οποία έχει χρησιμοποιήσει κοινωνικά μέσα και πλατφόρμες ανταλλαγής άμεσων μηνυμάτων για τη διανομή κακόβουλου λογισμικού για μεγάλο χρονικό διάστημα.
Το κακόβουλο λογισμικό έρχεται σε παραβιασμένο αρχείο ISO
Σε αυτό το σχήμα, τα θύματα εκκινούν άθελά τους ένα κακόβουλο αρχείο εικόνας οπτικού δίσκου (ISO) που περιέχει τρία αρχεία. Ένα αρχείο, που παρουσιάζεται ως πελάτης Amazon VNC ("AmazonVNC.exe"), είναι στην πραγματικότητα μια μετονομασμένη έκδοση μιας νόμιμης εφαρμογής των Windows ("choice.exe"). Τα άλλα αρχεία, "version.dll" και "aws.cfg", ξεκινούν την αλυσίδα μόλυνσης. Το "AmazonVNC.exe" φορτώνει το "version.dll", το οποίο με τη σειρά του εκκινεί μια διαδικασία για την εισαγωγή ενός ωφέλιμου φορτίου από το "aws.cfg".
Το ωφέλιμο φορτίο συνδέεται με έναν τομέα εντολών και ελέγχου (C2) ("henraux[.]com"), δυνητικά έναν παραβιασμένο ιστότοπο που ανήκει σε ιταλική εταιρεία. Αυτό το ωφέλιμο φορτίο κατεβάζει τον κώδικα shell για να εκκινήσει το RollFling, ένα πρόγραμμα φόρτωσης για το επόμενο στάδιο κακόβουλου λογισμικού RollSling, συνδεδεμένο προηγουμένως με δραστηριότητες του Ομίλου Lazarus που εκμεταλλεύονται μια ευπάθεια JetBrains TeamCity (CVE-2023-42793, βαθμολογία CVSS: 9,8).
Το RollSling εκτελεί στη μνήμη για να αποφύγει τον εντοπισμό και εκκινεί το RollMid, ένα πρόγραμμα φόρτωσης που έρχεται σε επαφή με μια σειρά διακομιστών C2 σε μια διαδικασία πολλαπλών βημάτων για την πραγματοποίηση επικοινωνιών.
Τελικά, αυτή η ακολουθία οδηγεί στην ανάπτυξη του Kaolin RAT και στη συνέχεια του FudModule rootkit, επιτρέποντας μια σειρά από κακόβουλες δραστηριότητες όπως ο χειρισμός αρχείων, η απαρίθμηση διεργασιών, η εκτέλεση εντολών και η επικοινωνία με εξωτερικούς κεντρικούς υπολογιστές.