Multi-License Discount Quote
Données concernant les menaces Remote Administration Tools Kaolin RAT

Kaolin RAT

Par Mezo en Remote Administration Tools, Advanced Persistent Threat (APT)
Se traduisent par :
Français

Le groupe Lazarus, une entité de cybermenace liée à la Corée du Nord, a utilisé des pièges professionnels familiers pour distribuer un nouveau cheval de Troie d'accès à distance (RAT) nommé Kaolin RAT lors d'attaques ciblées contre des individus spécifiques dans la région Asie au cours de l'été 2023.

Ce malware, en plus des fonctionnalités RAT typiques, avait la capacité de modifier l'horodatage de la dernière écriture d'un fichier choisi et de charger n'importe quel binaire DLL fourni à partir d'un serveur de commande et de contrôle (C2). Le RAT a servi de passerelle pour déployer le rootkit FudModule, qui a été récemment observé en utilisant un exploit administrateur vers le noyau dans le pilote appid.sys (CVE-2024-21338) pour obtenir une capacité de lecture/écriture du noyau et désactiver ensuite les mesures de sécurité. .

De fausses offres d'emploi utilisées comme leurres pour déployer le Kaolin RAT

L'utilisation par le groupe Lazarus d'appâts d'offres d'emploi pour infiltrer des cibles est une stratégie récurrente. Connue sous le nom d'Opération Dream Job, cette campagne de longue date utilise divers réseaux sociaux et plateformes de messagerie instantanée pour diffuser des logiciels malveillants.

Dans ce schéma, l'accès initial est obtenu en trompant les cibles en leur faisant ouvrir un fichier ISO (Optical Disc Image) dangereux contenant trois fichiers. L'un de ces fichiers se présente comme un client Amazon VNC (« AmazonVNC.exe »), mais est en réalité une version renommée d'une application Windows légitime appelée « choix.exe ». Les deux autres fichiers, nommés « version.dll » et « aws.cfg », servent de catalyseurs pour lancer le processus d'infection. Plus précisément, « AmazonVNC.exe » est utilisé pour charger « version.dll », qui génère ensuite un processus IExpress.exe et injecte une charge utile stockée dans « aws.cfg ».

Une chaîne d’attaque complexe à plusieurs étapes infecte les appareils compromis

La charge utile est conçue pour récupérer le shellcode d'un domaine C2 (« henraux.com »), soupçonné d'être un site Web compromis d'une entreprise italienne spécialisée dans le traitement du marbre et du granit.

Bien que le but exact du shellcode reste flou, il serait utilisé pour lancer RollFling, un chargeur basé sur DLL conçu pour obtenir et exécuter le malware ultérieur appelé RollSling. RollSling, précédemment identifié par Microsoft dans une campagne du groupe Lazarus exploitant une vulnérabilité critique de JetBrains TeamCity (CVE-2023-42793), est exécuté directement en mémoire pour éviter d'être détecté par les outils de sécurité, représentant la phase suivante du processus d'infection.

RollMid, un autre chargeur, est ensuite déployé en mémoire, chargé de préparer l'attaque et d'établir la communication avec un serveur C2 à travers une série d'étapes :

  • Contactez le premier serveur C2 pour récupérer un fichier HTML contenant l'adresse du deuxième serveur C2.
  • Communiquez avec le deuxième serveur C2 pour récupérer une image PNG contenant un composant nuisible dissimulé grâce à la stéganographie.
  • Transmettez les données au troisième serveur C2 en utilisant l'adresse cachée dans l'image.
  • Récupérez un blob de données codé en Base64 supplémentaire à partir du troisième serveur C2, qui contient le Kaolin RAT.

    • Le groupe Lazarus fait preuve d’une sophistication significative dans l’attaque Kaolin RAT

    La sophistication technique derrière la séquence en plusieurs étapes, bien que sans aucun doute complexe et complexe, frise l'exagération. Les chercheurs pensent que le Kaolin RAT ouvre la voie au déploiement du rootkit FudModule après avoir établi les communications avec le serveur C2 du RAT.

    De plus, le malware est équipé pour énumérer des fichiers, effectuer des opérations sur les fichiers, télécharger des fichiers sur le serveur C2, modifier l'horodatage de la dernière modification d'un fichier, énumérer, créer et terminer des processus, exécuter des commandes à l'aide de cmd.exe, télécharger des fichiers DLL à partir du Serveur C2 et connectez-vous à un hôte arbitraire.

    Le groupe Lazarus a ciblé des individus au moyen d'offres d'emploi fabriquées de toutes pièces et a utilisé un ensemble d'outils sophistiqués pour obtenir une meilleure persévérance tout en contournant les produits de sécurité. Il est évident qu’ils ont investi des ressources importantes dans le développement d’une chaîne d’attaque aussi complexe. Ce qui est certain, c'est que Lazarus a dû innover en permanence et allouer d'énormes ressources à la recherche sur divers aspects des produits d'atténuation et de sécurité Windows. Leur capacité à s’adapter et à évoluer pose un défi important aux efforts de cybersécurité.

    Tendance

    Le plus regardé

    Chargement...