Операция «Dream Job» не сбавляет обороты, используя длинную цепочку для сокрытия заражения.
Lazarus Group, известное хакерское объединение, традиционно ассоциируемое с Северной Кореей, использовало заманчивые предложения о работе для доставки нового троянца удалённого доступа (RAT) под названием Kaolin RAT в рамках атак, нацеленных на конкретных лиц в Азии летом 2023 года.
Как сообщил Луиджино Камастра, исследователь безопасности из Avast, этот вредоносный софт может, помимо стандартных функций RAT, изменять временную метку последней записи выбранного файла и загружать любой полученный DLL-бинарный файл с C2-сервера злоумышленников.
RAT служит каналом для доставки руткита FudModule, который недавно использовал уязвимость CVE-2024-21338 в драйвере appid.sys (оценка CVSS: 7.8) для получения примитивов чтения/записи в ядре и в конечном итоге для отключения механизмов безопасности.
Использование Lazarus ловушек с предложениями о работе для проникновения в системы не является новинкой. Долгосрочная кампания под названием «Operation Dream Job» показывает, что группа использует различные социальные сети и платформы мгновенных сообщений для доставки вредоносного ПО.
Цепочка заражения начинается с того, что цели атаки запускают злонамеренный образ оптического диска (ISO), содержащий три файла, один из которых маскируется под клиент Amazon VNC («AmazonVNC.exe»), который на самом деле является переименованной версией законного приложения Windows «choice.exe».
Два других файла, «version.dll» и «aws.cfg», служат катализатором для начала заражения. В частности, исполняемый файл «AmazonVNC.exe» используется для DLL Sideloading вредоносной библиотеки «version.dll», которая, в свою очередь, запускает процесс IExpress.exe и внедряет в него полезную нагрузку, находящуюся в «aws.cfg».
Эта полезная нагрузка предназначена для загрузки шелл-кода с C2-домена («henraux[.]com»), который, как предполагается, принадлежит итальянской компании, специализирующейся на добыче и обработке мрамора и гранита. Вероятно, этот домен был скомпрометирован злоумышленниками.
Шелл-код используется для запуска RollFling, загрузчика на основе DLL, который служит для получения и запуска следующего этапа вредоносного ПО под названием RollSling, раскрытого Microsoft в прошлом году.
RollSling, выполняемый непосредственно в памяти в попытке избежать обнаружения антивирусным программным обеспечением, представляет собой следующий этап процедуры заражения. Его основная функция — инициировать выполнение третьего загрузчика под названием RollMid, который также выполняется в памяти системы.
RollMid обладает возможностями, которые подготавливают почву для дальнейшей атаки и устанавливают связь с C2-сервером, включая трёхэтапный процесс, в ходе которого вредонос:
- связывается с первым сервером C2 для получения HTML-файла с адресом второго сервера C2,
- связывается со вторым сервером C2 для получения изображения PNG, в которое встроен злонамеренный компонент с использованием техники стеганографии,
- передаёт данные третьему серверу C2, используя адрес, указанный в скрытых данных внутри изображения,
- извлекает дополнительные данные, закодированные в Base64, с третьего C2-сервера, которые уже и являются Kaolin RAT.
На фоне этих событий Луиджино Камастра отметил, что Lazarus нацелилась на лиц через поддельные предложения о работе и использовала сложный набор инструментов и вредоносных действий для достижения лучшей устойчивости, обходя защитные меры в системах жертв.
Ты не вирус, но мы видим, что ты активен!
Подпишись, чтобы защититься
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
