El actor de amenazas vinculado a Corea del Norte conocido como Lazarus Group empleó sus señuelos laborales fabricados y probados en el tiempo para entregar un nuevo troyano de acceso remoto llamado Kaolin RAT .


El investigador de seguridad de Avast, Luigino Camastra, en un informe reciente, mencionó que además de las funciones habituales de un RAT, el malware tiene la capacidad de alterar la marca de tiempo de escritura de un archivo seleccionado y cargar DLL binarias desde el servidor de comando y control. Este RAT sirve como puente para la entrega del rootkit FudModule, que aprovecha un exploit del controlador appid.sys (CVE-2024-21338, CVSS score: 7.8) para obtener acceso al kernel y deshabilitar los mecanismos de seguridad.

El Grupo Lazarus ha recurrido a señuelos de ofertas de empleo para infiltrarse en sus objetivos, una táctica conocida como Operación Dream Job. Esta campaña, de larga data, ha utilizado diversas redes sociales y plataformas de mensajería instantánea para distribuir malware.

Los otros dos archivos son conocidos como “version.dll” y “aws.cfg”. El programa ejecutable “AmazonVNC.exe” se emplea para cargar “version.dll”, la cual, a su vez, genera un proceso IExpress.exe e introduce en él una carga útil contenida en “aws.cfg”.

Dicha carga útil tiene la función de descargar shellcode desde un dominio de comando y control (C2) (“henraux[.]com”), que, aunque parece ser un sitio web legítimo de una empresa italiana especializada en excavaciones y procesamiento de mármol y granito, se sospecha que ha sido comprometido.

Aunque no se conoce con precisión la naturaleza exacta del código shell, se cree que se utiliza para iniciar RollFling, un cargador basado en DLL diseñado para recuperar y ejecutar el malware de la siguiente etapa llamado RollSling. Este último fue revelado por Microsoft el año pasado en relación con una campaña del Grupo Lazarus que explotaba una vulnerabilidad crítica en JetBrains TeamCity (CVE-2023-42793, CVSS score: 9.8).

RollSling, que se ejecuta directamente en la memoria en un aparente intento de eludir la detección de software de seguridad, representa la siguiente fase del proceso de infección. Su principal función es activar la ejecución de un tercer cargador llamado RollMid, que también opera en la memoria del sistema.

RollMid viene equipado con capacidades para preparar el escenario para el ataque y establecer contacto con un servidor C2, lo que implica un proceso propio de tres etapas de la siguiente manera:

  • Comunicarse con el primer servidor C2 para obtener un HTML que contenga la dirección del segundo servidor C2
  • Comunicarse con el segundo servidor C2 para recuperar una imagen PNG que incorpore un componente malicioso mediante una técnica llamada esteganografía.
  • Transmitir datos al tercer servidor C2 utilizando la dirección especificada en los datos ocultos dentro de la imagen.
  • Recupere un blob de datos codificado en Base64 adicional del tercer servidor C2, que es Kaolin RAT

Fuente: www.thehackernews.com

You need to add a widget, row, or prebuilt layout before you’ll see anything here. 🙂