O grupo de ameaças vinculado à Coreia do Norte, conhecido como Lazarus Group, utilizou suas iscas de ofertas de emprego forjadas, já testadas pelo tempo, para entregar um novo trojan de acesso remoto, chamado Kaolin RAT, como parte de ataques visando indivíduos específicos na região da Ásia no verão de 2023.
O malware poderia, "além da funcionalidade padrão de RAT, alterar o timestamp de última escrita de um arquivo selecionado e carregar qualquer binário DLL recebido do servidor de comando e controle (C2)", disse o pesquisador de segurança da Avast, Luigino Camastra, em um relatório publicado na última semana.
O RAT atua como uma via para entregar o rootkit FudModule, que foi recentemente observado aproveitando-se de um exploit de admin-para-kernel agora corrigido no driver appid.sys (
CVE-2024-21338
, pontuação CVSS: 7.8) para obter um primitivo de leitura/escrita de kernel e, finalmente, desativar mecanismos de segurança.
O uso de iscas de ofertas de emprego pelo Lazarus Group para infiltrar-se em alvos não é novidade.
Apelidada de Operação Dream Job, a campanha de longa duração tem um histórico de uso de várias plataformas de mídia social e mensagens instantâneas para entregar malware.
Esses vetores de acesso inicial enganam os alvos a iniciar um arquivo de imagem óptica maliciosa (ISO) contendo três arquivos, um dos quais se disfarça como um cliente Amazon VNC ("AmazonVNC.exe") que, na realidade, é uma versão renomeada de uma aplicação legítima do Windows chamada "choice.exe".
Os outros dois arquivos, nomeados "version.dll" e "aws.cfg", agem como catalisadores para iniciar a cadeia de infecção.
Especificamente, o executável "AmazonVNC.exe" é usado para carregar lateralmente o "version.dll", que, por sua vez, inicia um processo IExpress.exe e injeta nele um payload residindo dentro de "aws.cfg".
O payload é projetado para baixar shellcode de um domínio C2 ("henraux[.]com"), suspeito de ser um site real, mas hackeado, pertencente a uma empresa italiana que se especializa em escavar e processar mármore e granito.
Enquanto a natureza exata do shellcode permanece incerta, diz-se que é usado para disparar o RollFling, um carregador baseado em DLL que serve para recuperar e lançar o malware de próxima etapa chamado RollSling, que foi divulgado pela Microsoft no ano passado em conexão com uma campanha do Lazarus Group explorando uma falha crítica da JetBrains TeamCity (
CVE-2023-42793
, pontuação CVSS: 9.8).
O RollSling, executado diretamente na memória em uma provável tentativa de evadir a detecção por software de segurança, representa a próxima fase do procedimento de infecção.
Sua função principal é desencadear a execução de um terceiro carregador apelidado de RollMid que também é executado na memória do sistema.
O RollMid vem equipado com capacidades para preparar o cenário para o ataque e estabelecer contato com um servidor C2, o que envolve um processo próprio de três etapas:
Comunicar-se com o primeiro servidor C2 para buscar um arquivo HTML contendo o endereço do segundo servidor C2
Comunicar-se com o segundo servidor C2 para buscar uma imagem PNG que incorpora um componente malicioso usando uma técnica chamada esteganografia
Transmitir dados para o terceiro servidor C2 usando o endereço especificado nos dados ocultos na imagem
Recuperar um bloco adicional de dados codificados em Base64 do terceiro servidor C2, que é o Kaolin RAT
A sofisticação técnica por trás da sequência de múltiplas etapas, embora sem dúvida complexa e intrincada, beira o exagero, opina a Avast, com o Kaolin RAT pavimentando o caminho para a implementação do rootkit FudModule após estabelecer comunicações com o servidor C2 do RAT.
Além disso, o malware está equipado para enumerar arquivos; realizar operações de arquivo; fazer upload de arquivos para o servidor C2; alterar o timestamp de última modificação de um arquivo; enumerar, criar e terminar processos; executar comandos usando cmd.exe; baixar arquivos DLL do servidor C2; e conectar-se a um host arbitrário.
"O grupo Lazarus teve como alvo indivíduos por meio de ofertas de emprego forjadas e empregou um conjunto de ferramentas sofisticado para alcançar melhor persistência enquanto evitava produtos de segurança", disse Camastra.
"É evidente que investiram recursos significativos no desenvolvimento de uma cadeia de ataques tão complexa.
O que é certo é que o Lazarus teve que inovar continuamente e alocar enormes recursos para pesquisar vários aspectos das mitigações e produtos de segurança do Windows.
Sua capacidade de se adaptar e evoluir representa um desafio significativo para os esforços de cibersegurança."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...