Kaolin RAT Koblet til North Korean Lazarus Group APT

Lazarus Group, tilknyttet Nord-Korea, brukte kjente taktikker som involverte falske jobbtilbud for å distribuere en ny fjerntilgangstrojaner (RAT) kalt Kaolin RAT under angrep rettet mot spesifikke individer i Asia sommeren 2023.

I følge Avast-sikkerhetsforsker Luigino Camastra kan RAT, bortsett fra standardfunksjonene, endre filtidsstempler og laste DLL-binærfiler fra en kommando-og-kontroll-server (C2).

RAT ble brukt til å introdusere FudModule rootkit, som utnyttet en oppdatering av admin-til-kjerne-sårbarhet i appid.sys-driveren (CVE-2024-21338, CVSS-score: 7,8) for å få tilgang på kjernenivå og deaktivere sikkerhetstiltak.

Lazarus Groups bruk av lokkemiddel for å infiltrere mål er en del av en kampanje kalt Operation Dream Job, som har brukt sosiale medier og direktemeldingsplattformer for å distribuere skadelig programvare over en lengre periode.

Skadelig programvare kommer i kompromittert ISO-fil

I dette opplegget lanserer ofre uforvarende en ondsinnet optisk diskbildefil (ISO) som inneholder tre filer. En fil, som utgir seg for å være en Amazon VNC-klient ("AmazonVNC.exe"), er faktisk en omdøpt versjon av en legitim Windows-applikasjon ("choice.exe"). De andre filene, "version.dll" og "aws.cfg," starter infeksjonskjeden. "AmazonVNC.exe" laster "version.dll", som igjen starter en prosess for å injisere en nyttelast fra "aws.cfg."

Nyttelasten kobles til et kommando-og-kontroll (C2) domene ("henraux[.]com"), potensielt et kompromittert nettsted som tilhører et italiensk selskap. Denne nyttelasten laster ned shellcode for å starte RollFling, en laster for neste trinns malware RollSling, tidligere knyttet til Lazarus Group-aktiviteter som utnytter en JetBrains TeamCity-sårbarhet (CVE-2023-42793, CVSS-score: 9,8).

RollSling kjører i minnet for å unngå deteksjon og starter RollMid, en laster som kontakter en serie C2-servere i en flertrinnsprosess for å etablere kommunikasjon.

Til syvende og sist fører denne sekvensen til distribusjon av Kaolin RAT og deretter FudModule rootkit, som muliggjør en rekke ondsinnede aktiviteter som filmanipulering, prosessoppregning, kommandoutførelse og kommunikasjon med eksterne verter.