25 de abril de 2024Sala de prensaMalware/amenaza cibernética El actor de amenazas vinculado a Corea del Norte conocido como Lazarus Group empleó sus señuelos laborales fabricados y probados en el tiempo para entregar un nuevo troyano de acceso remoto llamado Kaolin RAT. El malware podría, «además de la funcionalidad RAT estándar, cambiar la marca de tiempo de la última escritura de un archivo seleccionado y cargar cualquier DLL binario recibido desde [command-and-control] servidor», dijo el investigador de seguridad de Avast, Luigino Camastra, en un informe publicado la semana pasada. El RAT actúa como una vía para entregar el rootkit FudModule, que recientemente se ha observado aprovechando un exploit de administrador a kernel ahora parcheado en el controlador appid.sys. (CVE-2024-21338, puntuación CVSS: 7,8) para obtener una primitiva de lectura/escritura del kernel y, en última instancia, desactivar los mecanismos de seguridad. El uso de señuelos de ofertas de trabajo por parte del Grupo Lazarus para infiltrarse en objetivos no es nuevo. La campaña tiene un historial de uso de varias redes sociales y plataformas de mensajería instantánea para distribuir malware. Estos vectores de acceso inicial engañan a los objetivos para que lancen un archivo de imagen de disco óptico (ISO) malicioso que contiene tres archivos, uno de los cuales se hace pasar por un cliente Amazon VNC (» AmazonVNC.exe») que, en realidad, es una versión renombrada de una aplicación legítima de Windows llamada «choice.exe». Los otros dos archivos se denominan «version.dll» y «aws.cfg». El ejecutable «AmazonVNC.exe » se utiliza para cargar «version.dll», que, a su vez, genera un proceso IExpress.exe e inyecta en él una carga útil que reside dentro de «aws.cfg». La carga útil está diseñada para descargar código shell desde un comando y -dominio de control (C2) («henraux[.]com»), que se sospecha que es un sitio web real pero pirateado que pertenece a una empresa italiana que se especializa en excavar y procesar mármol y granito. Si bien la naturaleza exacta del shellcode no está clara, se dice que se usó para lanzar RollFling, un cargador basado en DLL que sirve para recuperar y lanzar el malware de siguiente etapa llamado RollSling, que fue revelado por Microsoft el año pasado en relación con una campaña del Grupo Lazarus que explota una falla crítica de JetBrains TeamCity (CVE-2023-42793, puntuación CVSS: 9,8). ). RollSling, ejecutado directamente en la memoria en un probable intento de evadir la detección por parte del software de seguridad, representa la siguiente fase del procedimiento de infección. Su función principal es desencadenar la ejecución de un tercer cargador denominado RollMid que también se ejecuta en la memoria del sistema. RollMid viene equipado con capacidades para preparar el escenario para el ataque y establecer contacto con un servidor C2, lo que implica un proceso propio de tres etapas de la siguiente manera: comunicarse con el primer servidor C2 para obtener un HTML que contenga la dirección del segundo. Servidor C2 Comunicarse con el segundo servidor C2 para recuperar una imagen PNG que incorpora un componente malicioso usando una técnica llamada esteganografía Transmitir datos al tercer servidor C2 usando la dirección especificada en los datos ocultos dentro de la imagen Recuperar un blob de datos codificado en Base64 adicional de el tercer servidor C2, que es Kaolin RAT. La sofisticación técnica detrás de la secuencia de múltiples etapas, aunque sin duda compleja e intrincada, roza la exageración, opinó Avast, con Kaolin RAT allanando el camino para la implementación del rootkit FudModule después de la configuración. establecer comunicaciones con el servidor C2 de la RAT. Además de eso, el malware está equipado para enumerar archivos; realizar operaciones de archivos; cargar archivos al servidor C2; alterar la última marca de tiempo modificada de un archivo; enumerar, crear y terminar procesos; ejecutar comandos usando cmd.exe; descargar archivos DLL del servidor C2; y conectarse a un host arbitrario. «El grupo Lazarus se centró en personas a través de ofertas de trabajo inventadas y empleó un conjunto de herramientas sofisticadas para lograr una mayor persistencia y eludir los productos de seguridad», dijo Camastra. «Es evidente que invirtieron importantes recursos en el desarrollo de una cadena de ataque tan compleja. Lo cierto es que Lazarus tuvo que innovar continuamente y asignar enormes recursos para investigar diversos aspectos de las mitigaciones y productos de seguridad de Windows. Su capacidad de adaptarse y evolucionar plantea un desafío significativo para los esfuerzos de ciberseguridad». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.