Un nuevo troyano de acceso remoto llamado Kaolin RAT ha sido utilizado por el grupo de amenazas Lazarus Group, proveniente de Corea del Norte, en ataques dirigidos en Asia durante el verano de 2023. Estos ataques se llevaron a cabo a través de engaños laborales fabricados que han sido utilizados durante mucho tiempo para entregar malware.
El Kaolin RAT, además de las funciones estándar de troyanos de acceso remoto, tiene la capacidad de alterar marcas de tiempo y cargar binarios DLL desde el servidor de comando y control, según un informe publicado por el investigador de seguridad Luigino Camastra de Avast la semana pasada.
Este troyano representa la vía para desplegar el rootkit FudModule, que está aprovechando recientemente una vulnerabilidad de administrador a kernel parcheada en el controlador appid.sys (CVE-2024-21338, puntuación CVSS: 7.8) con el propósito de deshabilitar los mecanismos de seguridad.
El Grupo Lazarus ha sido conocido por usar engaños de ofertas de trabajo en el pasado, y su campaña bien arraigada, llamada Operación Dream Job, utiliza plataformas de redes sociales y mensajería instantánea para entregar este tipo de malware.
Los objetivos son engañados al lanzar un ISO malicioso que contiene tres archivos, uno de los cuales se hace pasar por el cliente de Amazon VNC («AmazonVNC.exe«), aunque en realidad es una versión renombrada de una aplicación legítima de Windows llamada «choice.exe.»
Dos archivos adicionales, «version.dll» y «aws.cfg,» actúan como catalizadores para iniciar el proceso de infección. El ejecutable «AmazonVNC.exe» carga lateralmente «version.dll,» que a su vez inyecta una carga útil desde «aws.cfg» en un proceso IExpress.exe.
Esta carga útil está diseñada para descargar código de un dominio de control y comando (C2) alojado en «henraux[.]com,» que supuestamente es propiedad de una empresa italiana que se especializa en la excavación y procesamiento de mármol y granito.
A pesar de la naturaleza exacta del código de la cáscara no está clara, se sabe que se utiliza para lanzar RollFling, un cargador basado en DLL vinculado a una campaña pasada del Grupo Lazarus que explotó una falla grave de JetBrains TeamCity (CVE-2023-42793, puntuación CVSS: 9.8) divulgada por Microsoft el año pasado.
RollSling, ejecutado directamente en memoria para evadir la detección, representa la siguiente etapa del procedimiento de infección. Este activa un tercer cargador llamado RollMid, que a su vez se encarga de comunicarse con servidores C2 e iniciar el ataque.
La sofisticación técnica de esta cadena de ataque, aunque compleja e intrincada, se ve como un exceso por parte de Avast. Señalan que el Kaolin RAT allana el camino para el despliegue del rootkit FudModule después de establecer comunicaciones con el servidor C2 del RAT.
Además, el malware tiene la capacidad de enumerar archivos, realizar operaciones de archivo, cargar archivos en el servidor C2, alterar marcas de tiempo, crear y terminar procesos, ejecutar comandos usando cmd.exe, descargar archivos DLL del servidor C2, y conectarse a un host arbitrario.
El investigador Camastra destaca que el grupo Lazarus ha demostrado una fuerte persistencia al apuntar a personas a través de ofertas de trabajo falsas y al emplear herramientas sofisticadas para evadir la seguridad. Asimismo, considera que este desafío continuo del grupo representa un desafío importante para los esfuerzos de ciberseguridad.
Vía The Hacker News