Kaolin RAT Powiązany z północnokoreańską grupą Lazarus APT

Grupa Lazarus, powiązana z Koreą Północną, wykorzystała znaną taktykę polegającą na fałszywych ofertach pracy do dystrybucji nowego trojana zdalnego dostępu (RAT) o nazwie Kaolin RAT podczas ataków skierowanych na określone osoby w Azji latem 2023 r.

Według badacza bezpieczeństwa Avast, Luigino Camastry, RAT, poza swoimi standardowymi funkcjonalnościami, może modyfikować znaczniki czasu plików i ładować pliki binarne DLL z serwera dowodzenia (C2).

RAT wykorzystano do wprowadzenia rootkita FudModule, który wykorzystywał załataną lukę w zabezpieczeniach administratora do jądra w sterowniku appid.sys (CVE-2024-21338, wynik CVSS: 7,8) w celu uzyskania dostępu na poziomie jądra i wyłączenia zabezpieczeń.

Wykorzystywanie przez Grupę Lazarus przynęt z ofertami pracy do infiltrowania celów stanowi część kampanii o nazwie Operacja Dream Job, w ramach której media społecznościowe i platformy komunikatorów internetowych są wykorzystywane do dystrybucji złośliwego oprogramowania przez dłuższy czas.

Złośliwe oprogramowanie pojawia się w zaatakowanym pliku ISO

W tym schemacie ofiary nieświadomie uruchamiają złośliwy plik obrazu dysku optycznego (ISO) zawierający trzy pliki. Jeden plik udający klienta Amazon VNC („AmazonVNC.exe”) jest w rzeczywistości wersją legalnej aplikacji Windows („choice.exe”) o zmienionej nazwie. Pozostałe pliki, „version.dll” i „aws.cfg”, inicjują łańcuch infekcji. „AmazonVNC.exe” ładuje „wersję.dll”, co z kolei uruchamia proces wstrzykiwania ładunku z „aws.cfg”.

Ładunek łączy się z domeną dowodzenia i kontroli (C2) („henraux[.]com”), potencjalnie zhakowaną witryną internetową należącą do włoskiej firmy. Ten ładunek pobiera kod powłoki w celu zainicjowania RollFling, modułu ładującego dla kolejnego etapu złośliwego oprogramowania RollSling, powiązanego wcześniej z działaniami Lazarus Group wykorzystującymi lukę w zabezpieczeniach JetBrains TeamCity (CVE-2023-42793, wynik CVSS: 9,8).

RollSling uruchamia się w pamięci, aby uniknąć wykrycia i inicjuje RollMid, moduł ładujący, który kontaktuje się z serią serwerów C2 w wieloetapowym procesie w celu nawiązania komunikacji.

Ostatecznie ta sekwencja prowadzi do wdrożenia Kaolin RAT, a następnie rootkita FudModule, umożliwiając szereg złośliwych działań, takich jak manipulowanie plikami, wyliczanie procesów, wykonywanie poleceń i komunikacja z hostami zewnętrznymi.