Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе

Kaolin RAT: северокорейские хакеры прячут свой новый троян в вакансиях о работе

Операция «Dream Job» не сбавляет обороты, используя длинную цепочку для сокрытия заражения.

image

Lazarus Group, известное хакерское объединение, традиционно ассоциируемое с Северной Кореей, использовало заманчивые предложения о работе для доставки нового троянца удалённого доступа (RAT) под названием Kaolin RAT в рамках атак, нацеленных на конкретных лиц в Азии летом 2023 года.

Как сообщил Луиджино Камастра, исследователь безопасности из Avast, этот вредоносный софт может, помимо стандартных функций RAT, изменять временную метку последней записи выбранного файла и загружать любой полученный DLL-бинарный файл с C2-сервера злоумышленников.

RAT служит каналом для доставки руткита FudModule, который недавно использовал уязвимость CVE-2024-21338 в драйвере appid.sys (оценка CVSS: 7.8) для получения примитивов чтения/записи в ядре и в конечном итоге для отключения механизмов безопасности.

Использование Lazarus ловушек с предложениями о работе для проникновения в системы не является новинкой. Долгосрочная кампания под названием «Operation Dream Job» показывает, что группа использует различные социальные сети и платформы мгновенных сообщений для доставки вредоносного ПО.

Цепочка заражения начинается с того, что цели атаки запускают злонамеренный образ оптического диска (ISO), содержащий три файла, один из которых маскируется под клиент Amazon VNC («AmazonVNC.exe»), который на самом деле является переименованной версией законного приложения Windows «choice.exe».

Два других файла, «version.dll» и «aws.cfg», служат катализатором для начала заражения. В частности, исполняемый файл «AmazonVNC.exe» используется для DLL Sideloading вредоносной библиотеки «version.dll», которая, в свою очередь, запускает процесс IExpress.exe и внедряет в него полезную нагрузку, находящуюся в «aws.cfg».

Эта полезная нагрузка предназначена для загрузки шелл-кода с C2-домена («henraux[.]com»), который, как предполагается, принадлежит итальянской компании, специализирующейся на добыче и обработке мрамора и гранита. Вероятно, этот домен был скомпрометирован злоумышленниками.

Шелл-код используется для запуска RollFling, загрузчика на основе DLL, который служит для получения и запуска следующего этапа вредоносного ПО под названием RollSling, раскрытого Microsoft в прошлом году.

RollSling, выполняемый непосредственно в памяти в попытке избежать обнаружения антивирусным программным обеспечением, представляет собой следующий этап процедуры заражения. Его основная функция — инициировать выполнение третьего загрузчика под названием RollMid, который также выполняется в памяти системы.

RollMid обладает возможностями, которые подготавливают почву для дальнейшей атаки и устанавливают связь с C2-сервером, включая трёхэтапный процесс, в ходе которого вредонос:

  • связывается с первым сервером C2 для получения HTML-файла с адресом второго сервера C2,
  • связывается со вторым сервером C2 для получения изображения PNG, в которое встроен злонамеренный компонент с использованием техники стеганографии,
  • передаёт данные третьему серверу C2, используя адрес, указанный в скрытых данных внутри изображения,
  • извлекает дополнительные данные, закодированные в Base64, с третьего C2-сервера, которые уже и являются Kaolin RAT.

На фоне этих событий Луиджино Камастра отметил, что Lazarus нацелилась на лиц через поддельные предложения о работе и использовала сложный набор инструментов и вредоносных действий для достижения лучшей устойчивости, обходя защитные меры в системах жертв.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь