朝鲜APT Lazarus Group通过虚假求职诱饵部署新型Kaolin RAT

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近期，一份关于朝鲜黑客组织Lazarus Group的新报告引起了广泛关注。报告指出，该组织利用虚假求职诱饵，向亚洲地区的特定个人部署了一种名为Kaolin RAT的新型远程访问木马（RAT），并进一步传播了恶意rootkit FudModule。本文将带您深入了解这一复杂且高度隐蔽的攻击手法。

虚假求职诱饵：老手法的新应用

Lazarus Group并非首次使用虚假求职诱饵进行网络攻击。此次攻击延续了其“梦想工作行动”（Operation Dream Job）的惯用策略，通过社交媒体和即时通讯平台向目标发送恶意光盘镜像文件（ISO）。这些文件包含三个组件，其中之一伪装成亚马逊VNC客户端的可执行文件“AmazonVNC.exe”，实际上是一个合法Windows应用程序“choice.exe”的重命名版本。

另外两个文件“version.dll”和“aws.cfg”则用于启动感染链。“AmazonVNC.exe”用于侧加载“version.dll”，后者进一步启动“IExpress.exe”进程并将“aws.cfg”中的payload注入其中。该payload会从一个名为“henraux[.]com”的C2域名下载shellcode，该域名疑似为一家意大利大理石和花岗岩加工公司的被黑网站。

Kaolin RAT：多阶段攻击的核心

Kaolin RAT不仅具备标准的RAT功能，还能够更改选定文件的最后写入时间戳，并从C2服务器加载任何接收到的DLL二进制文件。据Avast安全研究员Luigino Camastra的报告，这种恶意软件的部署路径复杂且隐蔽。

该恶意软件会通过三步过程与C2服务器建立联系：

1. 与第一个C2服务器通信以获取包含第二个C2服务器地址的HTML文件。

2. 与第二个C2服务器通信以获取嵌入恶意组件的PNG图像，使用的是隐写术技术。

3. 使用图像中隐藏的数据指定的地址与第三个C2服务器通信并传输数据。

最终，Kaolin RAT从第三个C2服务器接收一个Base64编码的数据块，正式启动Kaolin RAT。此后，它还会部署FudModule rootkit，通过已修补的appid.sys驱动漏洞（CVE-2024-21338）获得内核读/写权限并禁用安全机制。

复杂的攻击链与高度隐蔽的恶意行为

这一复杂的多阶段攻击链不仅展示了Lazarus Group的技术水平，也体现了其在网络攻击领域的深厚积累。RollFling、RollSling和RollMid等加载器的使用，使攻击能够分阶段进行并避开大多数安全软件的检测。

Kaolin RAT具备的功能包括枚举文件、执行文件操作、向C2服务器上传文件、修改文件时间戳、创建和终止进程、使用cmd.exe执行命令、从C2服务器下载DLL文件以及连接任意主机等。这些功能使得攻击者能够全面控制受感染系统，进行数据窃取和系统操控。

持续创新与严峻挑战

Lazarus Group在此次攻击中展现了其持续创新和适应能力。正如Camastra所言：“Lazarus Group通过虚假求职诱饵攻击个人，并采用复杂的工具集实现更好的持久性，同时绕过安全产品。显然，他们在开发如此复杂的攻击链上投入了大量资源。他们的持续创新和演变能力，对网络安全防御提出了巨大的挑战。”

面对如此严峻的网络威胁，各国政府和企业需提高警惕，持续加强网络安全防御措施，确保自身信息安全不受侵犯。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT Lazarus Group通过虚假求职诱饵部署新型Kaolin RAT