Haker povezan sa Sjevernom Korejom, poznat kao Lazarus Group, koristio je svoje provjerene fabričke mamce za posao da isporuči novi trojanac za daljinski pristup pod nazivom Kaolin RAT kao dio napada usmjerenih na određene pojedince u azijskom regionu u ljeto 2023.
Zlonamjerni softver bi mogao, “osim standardne RAT funkcionalnosti, promijeniti posljednju vremensku oznaku pisanja odabrane datoteke i učitati bilo koju primljenu DLL binarnu datoteku sa [command-and-control] servera”, rekao je istraživač sigurnosti Avast Luigino Camastra u izvještaju objavljenom prošle sedmice.
RAT djeluje kao put za isporuku FudModule rootkit, koji je nedavno primijećen kako koristi sada zakrpljenu eksploataciju admin-to-kernel u drajveru appid.sys (CVE-2024-21338, CVSS rezultat: 7.8) za dobijanje kernela primitivno čitanje/pisanje i na kraju onemogućava sigurnosne mehanizme.
Upotreba mamaca za ponudu posla od strane Lazarus grupe za infiltriranje ciljeva nije nova. Nazvana Operation Dream Job, dugotrajna kampanja ima iskustvo korištenja različitih društvenih medija i platformi za razmjenu trenutnih poruka za isporuku zlonamjernog softvera .
Ovi početni vektori pristupa prevare mete da pokrenu zlonamjernu datoteku slike optičkog diska (ISO) koja sadrži tri datoteke, od kojih se jedna maskira kao Amazon VNC klijent (“AmazonVNC.exe”) koji je u stvarnosti preimenovana verzija legitimnog Windowsa aplikacija pod nazivom ” choice.exe .”
Druge dvije datoteke, nazvane “version.dll” i “aws.cfg”, djeluju kao katalizator za pokretanje lanca infekcije. Konkretno, izvršni “AmazonVNC.exe” se koristi za bočno učitavanje “version.dll”, koji, zauzvrat, pokreće proces IExpress.exe i ubacuje u njega korisni teret koji se nalazi unutar “aws.cfg”.
Korisno opterećenje je dizajnirano za preuzimanje shell koda sa domene za komandu i kontrolu (“henraux[.]com”), za koju se sumnja da je stvarna, ali hakovana web stranica koja pripada italijanskoj kompaniji koja je specijalizovana za iskopavanje i obrada mermera i granita.
Iako je tačna priroda shell koda nejasna, kaže se da se koristi za pokretanje RollFlinga, učitavača baziranog na DLL-u koji služi za preuzimanje i pokretanje zlonamjernog softvera sljedeće faze pod nazivom RollSling, koji je Microsoft otkrio prošle godine u vezi sa Lazarusom Grupna kampanja koja iskorištava kritičnu grešku JetBrains TeamCity-a (CVE-2023-42793, CVSS rezultat: 9,8).
RollSling, koji se izvršava direktno u memoriji u vjerovatnom pokušaju da se izbjegne otkrivanje od strane sigurnosnog softvera, predstavlja sljedeću fazu procedure infekcije. Njegova primarna funkcija je da pokrene izvršavanje trećeg loadera nazvanog RollMid koji se također pokreće u sistemskoj memoriji.
RollMid dolazi opremljen mogućnostima za postavljanje pozornice za napad i uspostavljanje kontakta sa C2 serverom, što uključuje vlastiti proces u tri koraka, kako slijedi –
- Komunicirajte sa prvim C2 serverom kako biste dohvatili HTML datoteku koja sadrži adresu drugog C2 servera
- Komunicirajte s drugim C2 serverom kako biste dohvatili PNG sliku koja ugrađuje zlonamjernu komponentu koristeći tehniku koja se zove steganografija
- Prenesite podatke na treći C2 server koristeći adresu navedenu u skrivenim podacima na slici
- Preuzmite dodatni blob podataka kodiran Base64 sa trećeg C2 servera, a to je Kaolin RAT
Tehnička sofisticiranost koja stoji iza višestepenog niza, iako je bez sumnje složena i zamršena, graniči sa preteranim, smatra Avast, pri čemu Kaolin RAT utire put za implementaciju FudModule rootkit nakon postavljanja komunikacije sa RAT-ovim C2 serverom.
Na kraju toga, malver je opremljen za nabrajanje fajlova; izvršiti operacije sa datotekama; upload fajlova na C2 server; promijeniti posljednju izmijenjenu vremensku oznaku datoteke; nabrajati, kreirati i završavati procese; izvršiti naredbe pomoću cmd.exe; preuzimanje DLL datoteka sa C2 servera; i spojite se na proizvoljnih domaćina.
“Grupa Lazarus ciljala je pojedince kroz izmišljene ponude za posao i koristila sofisticirani skup alata kako bi postigla bolju postojanost uz zaobilaženje sigurnosnih proizvoda”, rekao je Camastra.
“Evidentno je da su uložili značajna sredstva u razvoj ovako složenog lanca napada. Ono što je sigurno je da je Lazarus morao kontinuirano inovirati i izdvajati ogromne resurse za istraživanje različitih aspekata Windows ublažavanja i sigurnosnih proizvoda. Njihova sposobnost prilagođavanja i razvoja predstavlja značajan izazov naporima u oblasti cyber bezbednosti.”
Izvor:The Hacker News