朝鲜Lazarus 组织通过虚假工作诱饵传播Kaolin RAT远程访问木马

阅读量36025

发布时间 : 2024-04-26 11:05:57

与朝鲜有关的威胁组织 Lazarus Group 利用其经过时间考验的捏造工作诱饵来传播一种名为Kaolin RAT的新型远程访问木马。

Avast 安全研究员 Luigino Camastra在上周发布的一份报告中表示,该恶意软件“除了标准 RAT 功能之外,还可以更改选定文件的最后写入时间戳,并加载从[命令和控制]服务器接收的任何 DLL 二进制文件。”

RAT 充当传递 FudModule rootkit 的途径,最近观察到该 Rootkit 利用 appid.sys 驱动程序中现已修补的管理到内核漏洞(CVE-2024-21338,CVSS 评分:7.8)来获取内核读/写原语并最终禁用安全机制。

拉撒路集团利用工作机会来渗透目标的做法并不新鲜。这一长期活动被称为“梦想工作行动”,有利用各种社交媒体和即时消息平台传播恶意软件的记录。

这些初始访问向量诱骗目标启动包含三个文件的恶意光盘映像 (ISO) 文件,其中一个伪装成 Amazon VNC 客户端 (“AmazonVNC.exe”),实际上是合法 Windows 的重命名版本应用程序名为“ choice.exe ”。

另外两个文件名为“version.dll”和“aws.cfg”。可执行文件“AmazonVNC.exe”用于旁加载“version.dll”,后者又生成 IExpress.exe 进程并向其注入驻留在“aws.cfg”内的有效负载。

该有效负载旨在从命令与控制 (C2) 域(“henraux[.]com”)下载 shellcode,该域被怀疑是一个实际但已被黑客入侵的网站,属于一家专门从事挖掘和攻击的意大利公司。加工大理石和花岗岩。

虽然 shellcode 的确切性质尚不清楚,但据说它用于启动 RollFling,这是一个基于 DLL 的加载程序,用于检索和启动名为 RollSling 的下一阶段恶意软件,微软去年在与 Lazarus 相关的事件中披露了该恶意软件利用 JetBrains TeamCity 严重缺陷的团体活动(CVE-2023-42793,CVSS 评分:9.8)。

RollSling 直接在内存中执行,可能是为了逃避安全软件的检测,它代表了感染过程的下一阶段。它的主要功能是触发第三个加载器(称为 RollMid)的执行,该加载器也在系统内存中运行。

虚假工作诱惑

RollMid 配备了为攻击做好准备并与 C2 服务器建立联系的功能,这涉及其自身的三个阶段过程,如下所示:

与第一个 C2 服务器通信以获取包含第二个 C2 服务器地址的 HTML
与第二个 C2 服务器通信以获取使用隐写术技术嵌入恶意组件的 PNG 图像
使用图像中隐藏数据中指定的地址将数据传输到第三个C2服务器
从第三个 C2 服务器(即 Kaolin RAT)检索额外的 Base64 编码的数据 blob
Avast 认为,多阶段序列背后的技术复杂性无疑是复杂而复杂的,但近乎矫枉过正,Kaolin RAT 在与 RAT 的 C2 服务器建立通信后为 FudModule rootkit 的部署铺平了道路。

最重要的是,该恶意软件能够枚举文件;进行文件操作;上传文件到C2服务器;更改文件的最后修改时间戳;枚举、创建和终止进程;使用cmd.exe执行命令;从C2服务器下载DLL文件;并连接到任意主机。

卡马斯特拉说:“拉撒路组织通过捏造工作机会来瞄准个人,并使用复杂的工具集来绕过安全产品,从而实现更好的持久性。”

“很明显,他们投入了大量资源来开发如此复杂的攻击链。可以肯定的是,Lazarus 必须不断创新,并分配大量资源来研究 Windows 缓解措施和安全产品的各个方面。他们的适应和发展能力构成了对网络安全工作构成重大挑战。”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66