与朝鲜有关的威胁组织 Lazarus Group 利用其经过时间考验的捏造工作诱饵来传播一种名为Kaolin RAT的新型远程访问木马。

Avast 安全研究员 Luigino Camastra在上周发布的一份报告中表示，该恶意软件“除了标准 RAT 功能之外，还可以更改选定文件的最后写入时间戳，并加载从[命令和控制]服务器接收的任何 DLL 二进制文件。”

RAT 充当传递 FudModule rootkit 的途径，最近观察到该 Rootkit 利用 appid.sys 驱动程序中现已修补的管理到内核漏洞（CVE-2024-21338，CVSS 评分：7.8）来获取内核读/写原语并最终禁用安全机制。

拉撒路集团利用工作机会来渗透目标的做法并不新鲜。这一长期活动被称为“梦想工作行动”，有利用各种社交媒体和即时消息平台传播恶意软件的记录。

这些初始访问向量诱骗目标启动包含三个文件的恶意光盘映像 (ISO) 文件，其中一个伪装成 Amazon VNC 客户端 (“AmazonVNC.exe”)，实际上是合法 Windows 的重命名版本应用程序名为“ choice.exe ”。

另外两个文件名为“version.dll”和“aws.cfg”。可执行文件“AmazonVNC.exe”用于旁加载“version.dll”，后者又生成 IExpress.exe 进程并向其注入驻留在“aws.cfg”内的有效负载。

该有效负载旨在从命令与控制 (C2) 域（“henraux[.]com”）下载 shellcode，该域被怀疑是一个实际但已被黑客入侵的网站，属于一家专门从事挖掘和攻击的意大利公司。加工大理石和花岗岩。

虽然 shellcode 的确切性质尚不清楚，但据说它用于启动 RollFling，这是一个基于 DLL 的加载程序，用于检索和启动名为 RollSling 的下一阶段恶意软件，微软去年在与 Lazarus 相关的事件中披露了该恶意软件利用 JetBrains TeamCity 严重缺陷的团体活动（CVE-2023-42793，CVSS 评分：9.8）。

RollSling 直接在内存中执行，可能是为了逃避安全软件的检测，它代表了感染过程的下一阶段。它的主要功能是触发第三个加载器（称为 RollMid）的执行，该加载器也在系统内存中运行。

RollMid 配备了为攻击做好准备并与 C2 服务器建立联系的功能，这涉及其自身的三个阶段过程，如下所示：

与第一个 C2 服务器通信以获取包含第二个 C2 服务器地址的 HTML
与第二个 C2 服务器通信以获取使用隐写术技术嵌入恶意组件的 PNG 图像
使用图像中隐藏数据中指定的地址将数据传输到第三个C2服务器
从第三个 C2 服务器（即 Kaolin RAT）检索额外的 Base64 编码的数据 blob
Avast 认为，多阶段序列背后的技术复杂性无疑是复杂而复杂的，但近乎矫枉过正，Kaolin RAT 在与 RAT 的 C2 服务器建立通信后为 FudModule rootkit 的部署铺平了道路。

最重要的是，该恶意软件能够枚举文件；进行文件操作；上传文件到C2服务器；更改文件的最后修改时间戳；枚举、创建和终止进程；使用cmd.exe执行命令；从C2服务器下载DLL文件；并连接到任意主机。

卡马斯特拉说：“拉撒路组织通过捏造工作机会来瞄准个人，并使用复杂的工具集来绕过安全产品，从而实现更好的持久性。”

“很明显，他们投入了大量资源来开发如此复杂的攻击链。可以肯定的是，Lazarus 必须不断创新，并分配大量资源来研究 Windows 缓解措施和安全产品的各个方面。他们的适应和发展能力构成了对网络安全工作构成重大挑战。”

文章原文链接:https://www.anquanke.com/post/id/296018