Fuente: thehackernews.com – Autor: . El actor de amenazas vinculado a Corea del Norte conocido como Lazarus Group empleó sus señuelos laborales fabricados y probados en el tiempo para entregar un nuevo troyano de acceso remoto llamado Kaolin RAT como parte de ataques dirigidos a individuos específicos en la región de Asia en el verano de 2023. El malware podría, “aparte desde la funcionalidad RAT estándar, cambie la última marca de tiempo de escritura de un archivo seleccionado y cargue cualquier DLL binario recibido desde [command-and-control] servidor”, dijo el investigador de seguridad de Avast, Luigino Camastra, en un informe publicado la semana pasada. El RAT actúa como una vía para entregar el rootkit FudModule, que recientemente se ha observado aprovechando un exploit de administrador a kernel ahora parcheado en el controlador appid.sys (CVE-2024-21338, puntuación CVSS: 7.8) para obtener un kernel. lectura/escritura primitiva y, en última instancia, desactivar los mecanismos de seguridad. El uso por parte del Grupo Lazarus de señuelos de ofertas de trabajo para infiltrarse en objetivos no es nuevo. Apodada Operación Dream Job, la campaña de larga duración tiene un historial de uso de varias redes sociales y plataformas de mensajería instantánea para distribuir malware. Estos vectores de acceso inicial engañan a los objetivos para que inicien un archivo de imagen de disco óptico (ISO) malicioso que contiene tres archivos, uno de los cuales se hace pasar por un cliente Amazon VNC (“AmazonVNC.exe”) que, en realidad, es una versión renombrada de un programa legítimo de Windows. aplicación llamada “choice.exe”. Los otros dos archivos, denominados “version.dll” y “aws.cfg”, actúan como catalizador para iniciar la cadena de infección. Específicamente, el ejecutable «AmazonVNC.exe» se utiliza para cargar «version.dll», que, a su vez, genera un proceso IExpress.exe e inyecta en él una carga útil que reside dentro de «aws.cfg». La carga útil está diseñada para descargar shellcode desde un dominio de comando y control (C2) (“henraux[.]com”), que se sospecha que es un sitio web real pero pirateado que pertenece a una empresa italiana que se especializa en excavar y procesar mármol y granito. Si bien la naturaleza exacta del código shell no está clara, se dice que se utiliza para iniciar RollFling, un cargador basado en DLL que sirve para recuperar y ejecutar el malware de próxima etapa llamado RollSling, que fue revelado por Microsoft el año pasado en relación con un Lazarus. Campaña grupal que explota una falla crítica de JetBrains TeamCity (CVE-2023-42793, puntuación CVSS: 9,8). RollSling, ejecutado directamente en la memoria en un probable intento de evadir la detección por parte del software de seguridad, representa la siguiente fase del procedimiento de infección. Su función principal es activar la ejecución de un tercer cargador denominado RollMid que también se ejecuta en la memoria del sistema. RollMid viene equipado con capacidades para preparar el escenario para el ataque y establecer contacto con un servidor C2, lo que implica un proceso propio de tres pasos de la siguiente manera: comunicarse con el primer servidor C2 para recuperar un archivo HTML que contiene la dirección del segundo. Servidor C2 Comunicarse con el segundo servidor C2 para recuperar una imagen PNG que incorpora un componente malicioso usando una técnica llamada esteganografía Transmitir datos al tercer servidor C2 usando la dirección especificada en los datos ocultos dentro de la imagen Recuperar un blob de datos codificado en Base64 adicional de el tercer servidor C2, que es Kaolin RAT. La sofisticación técnica detrás de la secuencia de múltiples etapas, aunque sin duda compleja e intrincada, roza la exageración, opinó Avast, con Kaolin RAT allanando el camino para la implementación del rootkit FudModule después de la configuración. establecer comunicaciones con el servidor C2 de la RAT. Además de eso, el malware está equipado para enumerar archivos; realizar operaciones de archivos; cargar archivos al servidor C2; alterar la última marca de tiempo modificada de un archivo; enumerar, crear y terminar procesos; ejecutar comandos usando cmd.exe; descargar archivos DLL del servidor C2; y conectarse a un host arbitrario. «El grupo Lazarus se centró en personas a través de ofertas de trabajo inventadas y empleó un conjunto de herramientas sofisticadas para lograr una mayor persistencia sin pasar por los productos de seguridad», dijo Camastra. “Es evidente que invirtieron importantes recursos en el desarrollo de una cadena de ataque tan compleja. Lo que es seguro es que Lazarus tuvo que innovar continuamente y asignar enormes recursos para investigar diversos aspectos de las mitigaciones y productos de seguridad de Windows. Su capacidad para adaptarse y evolucionar plantea un desafío importante para los esfuerzos de ciberseguridad”. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos. URL de la publicación original: https://thehackernews.com/2024/04/north-koreas-lazarus-group-deploys-new.html