Multi-License Discount Quote
Bedrohungsdatenbank Remote Administration Tools Kaolin RAT

Kaolin RAT

Von Mezo in Remote Administration Tools, Advanced Persistent Threat (APT)
Übersetzen Sie in:
Deutsch

Die Lazarus Group, eine mit Nordkorea verbundene Cyber-Bedrohungsorganisation, nutzte bekannte berufsbezogene Fallen, um bei gezielten Angriffen auf bestimmte Personen in der Region Asien im Sommer 2023 einen neuen Remote Access Trojaner (RAT) namens Kaolin RAT zu verbreiten.

Diese Malware konnte neben den typischen RAT-Funktionen auch den letzten Schreibzeitstempel einer ausgewählten Datei ändern und jede bereitgestellte DLL-Binärdatei von einem Command-and-Control-Server (C2) laden. Der RAT diente als Gateway zur Bereitstellung des FudModule-Rootkits, das kürzlich dabei beobachtet wurde, wie es einen Admin-to-Kernel-Exploit im appid.sys-Treiber (CVE-2024-21338) verwendete, um eine Kernel-Lese-/Schreibberechtigung zu erlangen und anschließend Sicherheitsmaßnahmen zu deaktivieren.

Gefälschte Stellenangebote als Köder für den Einsatz des Kaolin RAT

Die Lazarus Group nutzt als Köder Stellenangebote, um Ziele zu infiltrieren. Diese langjährige Kampagne, bekannt als Operation Dream Job, nutzt verschiedene Social-Media- und Instant-Messaging-Plattformen, um Malware zu verbreiten.

Bei diesem Schema wird der erste Zugriff dadurch erlangt, dass die Opfer dazu verleitet werden, eine unsichere ISO-Datei (Optical Disc Image) zu öffnen, die drei Dateien enthält. Eine dieser Dateien gibt sich als Amazon VNC-Client aus („AmazonVNC.exe“), ist aber in Wirklichkeit eine umbenannte Version einer legitimen Windows-Anwendung namens „choice.exe“. Die anderen beiden Dateien, „version.dll“ und „aws.cfg“, dienen als Katalysatoren, um den Infektionsprozess zu starten. Insbesondere wird „AmazonVNC.exe“ verwendet, um „version.dll“ zu laden, das dann einen IExpress.exe-Prozess erzeugt und eine in „aws.cfg“ gespeicherte Nutzlast einschleust.

Eine komplexe mehrstufige Angriffskette infiziert die kompromittierten Geräte

Die Nutzlast ist darauf ausgelegt, Shellcode von einer C2-Domäne („henraux.com“) abzurufen, bei der es sich vermutlich um die kompromittierte Website eines auf die Verarbeitung von Marmor und Granit spezialisierten italienischen Unternehmens handelt.

Obwohl der genaue Zweck des Shellcodes unklar bleibt, wird er Berichten zufolge verwendet, um RollFling zu starten, einen DLL-basierten Loader, der darauf ausgelegt ist, die nächste Malware namens RollSling zu erhalten und auszuführen. RollSling, das zuvor von Microsoft in einer Kampagne der Lazarus Group identifiziert wurde, die eine kritische Schwachstelle von JetBrains TeamCity (CVE-2023-42793) ausnutzte, wird direkt im Speicher ausgeführt, um eine Erkennung durch Sicherheitstools zu vermeiden, was die nächste Phase des Infektionsprozesses darstellt.

Anschließend wird ein weiterer Loader, RollMid, im Speicher bereitgestellt. Seine Aufgabe besteht darin, den Angriff vorzubereiten und in einer Reihe von Schritten die Kommunikation mit einem C2-Server herzustellen:

  • Kontaktieren Sie den ersten C2-Server, um eine HTML-Datei mit der Adresse des zweiten C2-Servers abzurufen.
  • Kommunizieren Sie mit dem zweiten C2-Server, um ein PNG-Bild abzurufen, das eine mithilfe der Steganografie verborgene schädliche Komponente enthält.
  • Übertragen Sie Daten an den dritten C2-Server unter Verwendung der im Bild verborgenen Adresse.
  • Holen Sie einen zusätzlichen Base64-codierten Datenblob vom dritten C2-Server, der den Kaolin RAT enthält.

    • Die Lazarus-Gruppe weist beim Kaolin-RAT-Angriff ein hohes Maß an Raffinesse auf

    Die technische Raffinesse hinter der mehrstufigen Abfolge ist zwar zweifellos komplex und kompliziert, grenzt aber an Overkill. Forscher glauben, dass das Kaolin RAT den Weg für die Bereitstellung des FudModule-Rootkits ebnet, nachdem es die Kommunikation mit dem C2-Server des RAT hergestellt hat.

    Darüber hinaus ist die Malware in der Lage, Dateien aufzuzählen, Dateioperationen durchzuführen, Dateien auf den C2-Server hochzuladen, den Zeitstempel der letzten Änderung einer Datei zu ändern, Prozesse aufzuzählen, zu erstellen und zu beenden, Befehle mit cmd.exe auszuführen, DLL-Dateien vom C2-Server herunterzuladen und eine Verbindung zu einem beliebigen Host herzustellen.

    Die Lazarus-Gruppe zielte mit gefälschten Stellenangeboten auf Einzelpersonen ab und nutzte ein ausgeklügeltes Toolset, um eine bessere Persistenz zu erreichen und gleichzeitig Sicherheitsprodukte zu umgehen. Es ist offensichtlich, dass sie erhebliche Ressourcen in die Entwicklung einer derart komplexen Angriffskette investiert haben. Sicher ist, dass Lazarus kontinuierlich Innovationen entwickeln und enorme Ressourcen für die Erforschung verschiedener Aspekte von Windows-Abwehr- und Sicherheitsprodukten bereitstellen musste. Ihre Anpassungs- und Weiterentwicklungsfähigkeit stellt eine erhebliche Herausforderung für die Cybersicherheitsbemühungen dar.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...