El actor de amenazas vinculado a Corea del Norte conocido como Lazarus Group, está empleando señuelos laborales fabricados para entregar un nuevo troyano de acceso remoto, llamado Kaolin RAT.
El malware podría, «además de la funcionalidad RAT estándar, cambiar la última marca de tiempo de escritura de un archivo seleccionado y cargar cualquier DLL binario recibido desde el servidor [de comando y control]», dijo el investigador de seguridad de Avast, Luigino Camastra, en un informe publicado la semana pasada.
El RAT actúa como una vía para entregar el rootkit FudModule, que recientemente se ha observado aprovechando un exploit de administrador a kernel ahora parcheado en el controlador appid.sys (CVE-2024-21338, puntuación CVSS: 7.8) para obtener un kernel. lectura/escritura primitiva y, en última instancia, desactivar los mecanismos de seguridad.
El uso por parte del Grupo Lazarus de señuelos de ofertas de trabajo para infiltrarse en objetivos no es nuevo. Apodada Operación Dream Job, la campaña de larga duración tiene un historial de uso de varias redes sociales y plataformas de mensajería instantánea para distribuir malware.
Estos vectores de acceso inicial engañan a los objetivos para que inicien un archivo de imagen de disco óptico (ISO) malicioso que contiene tres archivos, uno de los cuales se hace pasar por un cliente Amazon VNC («AmazonVNC.exe») que, en realidad, es una versión renombrada de un programa legítimo de Windows. aplicación llamada » elección.exe «.
Los otros dos archivos se denominan «version.dll» y «aws.cfg». El ejecutable «AmazonVNC.exe» se utiliza para cargar «version.dll», que, a su vez, genera un proceso IExpress.exe e inyecta en él una carga útil que reside dentro de «aws.cfg».
La carga útil está diseñada para descargar shellcode desde un dominio de comando y control (C2) («henraux[.]com»), que se sospecha que es un sitio web real pero pirateado que pertenece a una empresa italiana que se especializa en excavaciones y procesamiento de mármol y granito.
Si bien la naturaleza exacta del código shell no está clara, se dice que se utiliza para iniciar RollFling, un cargador basado en DLL que sirve para recuperar y ejecutar el malware de próxima etapa llamado RollSling, que fue revelado por Microsoft el año pasado en relación con un Lazarus. Campaña grupal que explota una falla crítica de JetBrains TeamCity (CVE-2023-42793, puntuación CVSS: 9,8).
RollSling, ejecutado directamente en la memoria en un probable intento de evadir la detección del software de seguridad, representa la siguiente fase del procedimiento de infección. Su función principal es activar la ejecución de un tercer cargador denominado RollMid que también se ejecuta en la memoria del sistema.
RollMid viene equipado con capacidades para preparar el escenario para el ataque y establecer contacto con un servidor C2, lo que implica un proceso propio de tres etapas de la siguiente manera:
- Comunicarse con el primer servidor C2 para obtener un HTML que contenga la dirección del segundo servidor C2
- Comunicarse con el segundo servidor C2 para recuperar una imagen PNG que incorpore un componente malicioso mediante una técnica llamada esteganografía.
- Transmitir datos al tercer servidor C2 utilizando la dirección especificada en los datos ocultos dentro de la imagen.
- Recupere un blob de datos codificado en Base64 adicional del tercer servidor C2, que es Kaolin RAT
La sofisticación técnica detrás de la secuencia de múltiples etapas, aunque sin duda compleja e intrincada, roza la exageración, opinó Avast, con Kaolin RAT allanando el camino para la implementación del rootkit FudModule después de configurar las comunicaciones con el servidor C2 de RAT.
Además de eso, el malware está equipado para enumerar archivos; realizar operaciones de archivos; cargar archivos al servidor C2; alterar la última marca de tiempo modificada de un archivo; enumerar, crear y terminar procesos; ejecutar comandos usando cmd.exe; descargar archivos DLL del servidor C2; y conectarse a un host arbitrario.
«El grupo Lazarus se centró en personas a través de ofertas de trabajo inventadas y empleó un conjunto de herramientas sofisticadas para lograr una mayor persistencia y eludir los productos de seguridad», dijo Camastra.
«Es evidente que invirtieron importantes recursos en el desarrollo de una cadena de ataque tan compleja. Lo cierto es que Lazarus tuvo que innovar continuamente y asignar enormes recursos para investigar diversos aspectos de las mitigaciones y productos de seguridad de Windows. Su capacidad de adaptarse y evolucionar plantea un desafío significativo para los esfuerzos de ciberseguridad».
Fuente y redacción: thehackernews.com
