Kaolin RAT
Kuzey Kore'ye bağlı bir siber tehdit kuruluşu olan Lazarus Grubu, 2023 yazında Asya bölgesindeki belirli kişilere yönelik hedefli saldırılar sırasında Kaolin RAT adlı yeni bir Uzaktan Erişim Truva Atı'nı (RAT) dağıtmak için işle ilgili tanıdık tuzaklardan yararlandı.
Bu kötü amaçlı yazılım, tipik RAT işlevlerine ek olarak, seçilen bir dosyanın son yazma zaman damgasını değiştirme ve sağlanan herhangi bir DLL ikili dosyasını bir Komuta ve Kontrol (C2) sunucusundan yükleme yeteneğine sahipti. RAT, yakın zamanda appid.sys sürücüsünde (CVE-2024-21338) yöneticiden çekirdeğe bir istismar kullanılarak çekirdek okuma/yazma özelliği elde etmek ve ardından güvenlik önlemlerini devre dışı bırakmak için gözlemlenen FudModule kök setini dağıtmak için bir ağ geçidi görevi gördü. .
İçindekiler
Kaolin RAT'ı Yaymak İçin Yem Olarak Kullanılan Sahte İş Teklifleri
Lazarus Grubunun hedeflere sızmak için iş teklifi tuzaklarından yararlanması yinelenen bir stratejidir. Dream Job Operasyonu olarak bilinen bu uzun süredir devam eden kampanya, kötü amaçlı yazılım dağıtmak için çeşitli sosyal medya ve anlık mesajlaşma platformlarını kullanıyor.
Bu şemada, ilk erişim, hedefleri kandırarak üç dosya içeren güvenli olmayan bir Optik Disk Görüntüsü (ISO) dosyasını açarak elde edilir. Bu dosyalardan biri bir Amazon VNC istemcisi ("AmazonVNC.exe") gibi görünmektedir ancak aslında 'choice.exe' adı verilen meşru bir Windows uygulamasının yeniden adlandırılmış bir sürümüdür. 'version.dll' ve 'aws.cfg' adlı diğer iki dosya, enfeksiyon sürecini başlatmak için katalizör görevi görür. Özellikle, 'AmazonVNC.exe', 'version.dll'yi yüklemek için kullanılır, bu daha sonra bir IExpress.exe işlemi oluşturur ve 'aws.cfg' içinde depolanan bir veriyi enjekte eder.
Karmaşık, Çok Aşamalı Bir Saldırı Zinciri Güvenliği Tehlikeye Giren Cihazlara Bulaşıyor
Yük, mermer ve granit işleme konusunda uzmanlaşmış bir İtalyan şirketinin güvenliği ihlal edilmiş bir web sitesi olduğundan şüphelenilen bir C2 alanından ('henraux.com') kabuk kodunu almak üzere tasarlandı.
Kabuk kodunun kesin amacı belirsizliğini korusa da, RollSling adı verilen sonraki aşamadaki kötü amaçlı yazılımı elde etmek ve yürütmek için tasarlanmış DLL tabanlı bir yükleyici olan RollFling'i başlatmak için kullanıldığı bildiriliyor. Daha önce Microsoft tarafından kritik bir JetBrains TeamCity güvenlik açığından (CVE-2023-42793) yararlanan bir Lazarus Grubu kampanyasında tanımlanan RollSling, güvenlik araçları tarafından tespit edilmesini önlemek için doğrudan bellekte yürütülüyor ve bulaşma sürecinin bir sonraki aşamasını temsil ediyor.
Başka bir yükleyici olan RollMid daha sonra belleğe dağıtılır ve saldırıya hazırlanmak ve bir dizi adım aracılığıyla bir C2 sunucusuyla iletişim kurmakla görevlendirilir:
- İkinci C2 sunucusunun adresini içeren bir HTML dosyasını almak için ilk C2 sunucusuyla iletişime geçin.
Lazarus Grubu, Kaolin RAT Saldırısında Önemli Bir Gelişmişlik Sergiliyor
Çok aşamalı sürecin ardındaki teknik karmaşıklık, şüphesiz karmaşık ve çetrefilli olsa da, aşırıya kaçma sınırındadır. Araştırmacılar, Kaolin RAT'ın, RAT'ın C2 sunucusuyla iletişim kurduktan sonra FudModule rootkit'inin konuşlandırılmasının önünü açtığına inanıyor.
Ayrıca kötü amaçlı yazılım, dosyaları numaralandırmak, dosya işlemlerini gerçekleştirmek, dosyaları C2 sunucusuna yüklemek, bir dosyanın son değiştirilen zaman damgasını değiştirmek, işlemleri numaralandırmak, oluşturmak ve sonlandırmak, cmd.exe'yi kullanarak komutları yürütmek, DLL dosyalarını C2 sunucusundan indirmek için donatılmıştır. C2 sunucusu ve isteğe bağlı bir ana bilgisayara bağlanın.
Lazarus grubu, uydurma iş teklifleri yoluyla bireyleri hedef aldı ve güvenlik ürünlerini atlarken daha iyi bir kalıcılığa ulaşmak için gelişmiş bir araç seti kullandı. Böylesine karmaşık bir saldırı zincirini geliştirmek için önemli kaynaklara yatırım yaptıkları açıktır. Kesin olan şu ki, Lazarus'un sürekli olarak yenilik yapması ve Windows azaltımları ve güvenlik ürünlerinin çeşitli yönlerini araştırmak için çok büyük kaynaklar ayırması gerekiyordu. Uyum sağlama ve gelişme yetenekleri, siber güvenlik çabaları açısından önemli bir zorluk teşkil etmektedir.
