与朝鲜有关的威胁组织 Lazarus Group 利用其经过时间考验的捏造工作诱饵来传播一种名为Kaolin RAT的新型远程访问木马。
Avast 安全研究员 Luigino Camastra在上周发布的一份报告中表示,该恶意软件“除了标准 RAT 功能之外,还可以更改选定文件的最后写入时间戳,并加载从[命令和控制]服务器接收的任何 DLL 二进制文件。”
RAT 充当传递 FudModule rootkit 的途径,最近观察到该 Rootkit 利用 appid.sys 驱动程序中现已修补的管理到内核漏洞(CVE-2024-21338,CVSS 评分:7.8)来获取内核读/写原语并最终禁用安全机制。
拉撒路集团利用工作机会来渗透目标的做法并不新鲜。这一长期活动被称为“梦想工作行动”,有利用各种社交媒体和即时消息平台传播恶意软件的记录。
这些初始访问向量诱骗目标启动包含三个文件的恶意光盘映像 (ISO) 文件,其中一个伪装成 Amazon VNC 客户端 (“AmazonVNC.exe”),实际上是合法 Windows 的重命名版本应用程序名为“ choice.exe ”。
另外两个文件名为“version.dll”和“aws.cfg”。可执行文件“AmazonVNC.exe”用于旁加载“version.dll”,后者又生成 IExpress.exe 进程并向其注入驻留在“aws.cfg”内的有效负载。
该有效负载旨在从命令与控制 (C2) 域(“henraux[.]com”)下载 shellcode,该域被怀疑是一个实际但已被黑客入侵的网站,属于一家专门从事挖掘和攻击的意大利公司。加工大理石和花岗岩。
虽然 shellcode 的确切性质尚不清楚,但据说它用于启动 RollFling,这是一个基于 DLL 的加载程序,用于检索和启动名为 RollSling 的下一阶段恶意软件,微软去年在与 Lazarus 相关的事件中披露了该恶意软件利用 JetBrains TeamCity 严重缺陷的团体活动(CVE-2023-42793,CVSS 评分:9.8)。
RollSling 直接在内存中执行,可能是为了逃避安全软件的检测,它代表了感染过程的下一阶段。它的主要功能是触发第三个加载器(称为 RollMid)的执行,该加载器也在系统内存中运行。
RollMid 配备了为攻击做好准备并与 C2 服务器建立联系的功能,这涉及其自身的三个阶段过程,如下所示:
与第一个 C2 服务器通信以获取包含第二个 C2 服务器地址的 HTML
与第二个 C2 服务器通信以获取使用隐写术技术嵌入恶意组件的 PNG 图像
使用图像中隐藏数据中指定的地址将数据传输到第三个C2服务器
从第三个 C2 服务器(即 Kaolin RAT)检索额外的 Base64 编码的数据 blob
Avast 认为,多阶段序列背后的技术复杂性无疑是复杂而复杂的,但近乎矫枉过正,Kaolin RAT 在与 RAT 的 C2 服务器建立通信后为 FudModule rootkit 的部署铺平了道路。
最重要的是,该恶意软件能够枚举文件;进行文件操作;上传文件到C2服务器;更改文件的最后修改时间戳;枚举、创建和终止进程;使用cmd.exe执行命令;从C2服务器下载DLL文件;并连接到任意主机。
卡马斯特拉说:“拉撒路组织通过捏造工作机会来瞄准个人,并使用复杂的工具集来绕过安全产品,从而实现更好的持久性。”
“很明显,他们投入了大量资源来开发如此复杂的攻击链。可以肯定的是,Lazarus 必须不断创新,并分配大量资源来研究 Windows 缓解措施和安全产品的各个方面。他们的适应和发展能力构成了对网络安全工作构成重大挑战。”
发表评论
您还未登录,请先登录。
登录