Kaolin RAT

El Grupo Lazarus, una entidad de amenazas cibernéticas vinculada a Corea del Norte, utilizó trampas familiares relacionadas con el trabajo para distribuir un nuevo troyano de acceso remoto (RAT) llamado Kaolin RAT durante ataques dirigidos a individuos específicos en la región de Asia en el verano de 2023.

Este malware, además de las funcionalidades típicas de RAT, tenía la capacidad de modificar la última marca de tiempo de escritura de un archivo elegido y cargar cualquier DLL binario proporcionado desde un servidor de comando y control (C2). La RAT sirvió como puerta de enlace para implementar el rootkit FudModule, que se observó recientemente usando un exploit de administrador al kernel en el controlador appid.sys (CVE-2024-21338) para obtener una capacidad de lectura/escritura del kernel y posteriormente deshabilitar las medidas de seguridad. .

Ofertas de trabajo falsas utilizadas como señuelo para implementar Kaolin RAT

La utilización por parte del Grupo Lazarus de cebos de ofertas de trabajo para infiltrarse en objetivos es una estrategia recurrente. Conocida como Operación Dream Job, esta campaña de larga data emplea varias redes sociales y plataformas de mensajería instantánea para distribuir malware.

En este esquema, el acceso inicial se obtiene engañando a los objetivos para que abran un archivo de imagen de disco óptico (ISO) no seguro que contiene tres archivos. Uno de estos archivos se hace pasar por un cliente Amazon VNC ('AmazonVNC.exe'), pero en realidad es una versión renombrada de una aplicación legítima de Windows llamada 'choice.exe'. Los otros dos archivos, denominados 'version.dll' y 'aws.cfg', sirven como catalizadores para iniciar el proceso de infección. Específicamente, 'AmazonVNC.exe' se usa para cargar 'version.dll', que luego genera un proceso IExpress.exe e inyecta una carga útil almacenada en 'aws.cfg'.

Una compleja cadena de ataques de varias etapas infecta los dispositivos comprometidos

La carga útil está diseñada para recuperar código shell de un dominio C2 ('henraux.com'), que se sospecha es un sitio web comprometido de una empresa italiana especializada en el procesamiento de mármol y granito.

Aunque el propósito exacto del shellcode aún no está claro, se informa que se utiliza para iniciar RollFling, un cargador basado en DLL diseñado para obtener y ejecutar el malware de etapa posterior llamado RollSling. RollSling, identificado previamente por Microsoft en una campaña del Grupo Lazarus que explota una vulnerabilidad crítica de JetBrains TeamCity (CVE-2023-42793), se ejecuta directamente en la memoria para evitar la detección por parte de las herramientas de seguridad, lo que representa la siguiente fase del proceso de infección.

Luego se implementa RollMid, otro cargador, en la memoria, con la tarea de prepararse para el ataque y establecer comunicación con un servidor C2 a través de una serie de pasos:

• Póngase en contacto con el primer servidor C2 para recuperar un archivo HTML que contiene la dirección del segundo servidor C2.

• Comuníquese con el segundo servidor C2 para recuperar una imagen PNG que contiene un componente dañino oculto mediante esteganografía.

• Transmita datos al tercer servidor C2 utilizando la dirección oculta dentro de la imagen.

• Obtenga un blob de datos codificado en Base64 adicional del tercer servidor C2, que contiene Kaolin RAT.

El grupo Lazarus exhibe una sofisticación significativa en el ataque de Kaolin RAT

La sofisticación técnica detrás de la secuencia de múltiples etapas, aunque sin duda compleja e intrincada, roza la exageración. Los investigadores creen que Kaolin RAT allana el camino para la implementación del rootkit FudModule después de configurar las comunicaciones con el servidor C2 de RAT.

Además, el malware está equipado para enumerar archivos, realizar operaciones con archivos, cargar archivos al servidor C2, alterar la última marca de tiempo modificada de un archivo, enumerar, crear y finalizar procesos, ejecutar comandos usando cmd.exe, descargar archivos DLL desde servidor C2 y conectarse a un host arbitrario.

El grupo Lazarus se dirigió a personas a través de ofertas de trabajo inventadas y empleó un conjunto de herramientas sofisticadas para lograr una mayor persistencia sin pasar por los productos de seguridad. Es evidente que invirtieron importantes recursos en el desarrollo de una cadena de ataque tan compleja. Lo que es seguro es que Lazarus tuvo que innovar continuamente y asignar enormes recursos para investigar diversos aspectos de las mitigaciones y productos de seguridad de Windows. Su capacidad para adaptarse y evolucionar plantea un desafío importante para los esfuerzos de ciberseguridad.