Tác nhân đe dọa liên quan đến Triều Tiên được gọi là Lazarus Group đã sử dụng mồi nhử công việc bịa đặt đã được thử nghiệm theo thời gian để cung cấp một trojan truy cập từ xa mới có tên Kaolin RAT như một phần của các cuộc tấn công nhắm vào các cá nhân cụ thể ở khu vực châu Á vào mùa hè năm 2023.
Phần mềm độc hại có thể, "ngoài chức năng RAT tiêu chuẩn, thay đổi dấu thời gian ghi cuối cùng của một tệp đã chọn và tải bất kỳ tệp nhị phân DLL nào nhận được từ máy chủ [ra lệnh và kiểm soát]", nhà nghiên cứu bảo mật Luigino Camastra của Avast cho biết trong một báo cáo được công bố tuần trước.
RAT hoạt động như một con đường để cung cấp rootkit FudModule, gần đây đã được quan sát thấy tận dụng khai thác admin-to-kernel hiện đã được vá trong trình điều khiển appid.sys (CVE-2024-21338, điểm CVSS: 7.8) để có được kernel read/write primitive và cuối cùng là vô hiệu hóa các cơ chế bảo mật.
Việc Tập đoàn Lazarus sử dụng mồi nhử việc làm để xâm nhập vào các mục tiêu không phải là mới. Được đặt tên là Operation Dream Job, chiến dịch kéo dài này có thành tích sử dụng các phương tiện truyền thông xã hội và nền tảng nhắn tin tức thời khác nhau để phát tán phần mềm độc hại.
Mặc dù bản chất chính xác của shellcode vẫn chưa rõ ràng, nhưng nó được cho là được sử dụng để khởi chạy RollFling, một trình tải dựa trên DLL phục vụ để truy xuất và khởi chạy phần mềm độc hại giai đoạn tiếp theo có tên RollSling, được Microsoft tiết lộ vào năm ngoái liên quan đến chiến dịch Lazarus Group khai thác lỗ hổng JetBrains TeamCity nghiêm trọng (CVE-2023-42793, điểm CVSS: 9.8).
RollSling, được thực thi trực tiếp trong bộ nhớ trong một nỗ lực có khả năng tránh sự phát hiện của phần mềm bảo mật, đại diện cho giai đoạn tiếp theo của quy trình lây nhiễm. Chức năng chính của nó là kích hoạt việc thực thi trình tải thứ ba có tên là RollMid cũng chạy trong bộ nhớ của hệ thống.
RollMid được trang bị các khả năng để thiết lập giai đoạn cho cuộc tấn công và thiết lập liên lạc với máy chủ C2, bao gồm quy trình ba bước của riêng nó như sau:
- Giao tiếp với máy chủ C2 đầu tiên để tìm nạp tệp HTML chứa địa chỉ của máy chủ C2 thứ hai
- Giao tiếp với máy chủ C2 thứ hai để tìm nạp hình ảnh PNG nhúng một thành phần độc hại bằng cách sử dụng một kỹ thuật gọi là steganography
- Truyền dữ liệu đến máy chủ C2 thứ ba bằng địa chỉ được chỉ định trong dữ liệu ẩn trong hình ảnh
- Truy xuất một blob dữ liệu được mã hóa Base64 bổ sung từ máy chủ C2 thứ ba, đó là Kaolin RAT
Sự tinh vi kỹ thuật đằng sau chuỗi nhiều giai đoạn, trong khi không nghi ngờ gì là phức tạp và phức tạp, giáp với quá mức cần thiết, Avast cho biết, với Kaolin RAT mở đường cho việc triển khai rootkit FudModule sau khi thiết lập liên lạc với máy chủ C2 của RAT.