Multi-License Discount Quote
脅威データベース Remote Administration Tools Kaolin RAT

Kaolin RAT

Remote Administration Tools, Advanced Persistent Threat (APT)Mezoまで
翻訳内容:
日本語

北朝鮮と関連のあるサイバー脅威団体「ラザルス・グループ」は、2023年夏、アジア地域の特定の個人を標的とした攻撃中に、おなじみの職業関連の罠を利用して、カオリンRATと呼ばれる新しいリモートアクセス型トロイの木馬(RAT)を配布しました。

このマルウェアは、一般的な RAT 機能に加えて、選択したファイルの最終書き込みタイムスタンプを変更し、コマンド アンド コントロール (C2) サーバーから提供された DLL バイナリをロードする機能も備えていました。この RAT は FudModule ルートキットを展開するためのゲートウェイとして機能し、最近、appid.sys ドライバーの管理者からカーネルへのエクスプロイト (CVE-2024-21338) を使用してカーネルの読み取り/書き込み機能を取得し、その後セキュリティ対策を無効にすることが確認されました。

偽の求人広告が Kaolin RAT を展開するための餌として利用される

Lazarus Groupがターゲットに侵入するために求人広告を利用するのは、繰り返し行われる戦略です。Operation Dream Job として知られるこの長期にわたる攻撃では、さまざまなソーシャル メディアやインスタント メッセージング プラットフォームを利用してマルウェアを配布します。

このスキームでは、最初のアクセスは、ターゲットを騙して 3 つのファイルを含む安全でない光ディスク イメージ (ISO) ファイルを開くことで行われます。これらのファイルの 1 つは Amazon VNC クライアント (「AmazonVNC.exe」) を装っていますが、実際には「choice.exe」という正規の Windows アプリケーションの名前を変更したバージョンです。「version.dll」と「aws.cfg」という他の 2 つのファイルは、感染プロセスを開始するための触媒として機能します。具体的には、「AmazonVNC.exe」は「version.dll」をロードするために使用され、次に IExpress.exe プロセスが生成され、「aws.cfg」内に格納されているペイロードが挿入されます。

複雑な多段階攻撃チェーンが侵害されたデバイスに感染する

ペイロードは、大理石と花崗岩の加工を専門とするイタリアの企業の侵害された Web サイトであると疑われる C2 ドメイン (「henraux.com」) からシェルコードを取得するように設計されています。

シェルコードの正確な目的は不明ですが、報告によると、RollSlingと呼ばれる次の段階のマルウェアを取得して実行するように設計されたDLLベースのローダーであるRollFlingを起動するために使用されます。RollSlingは、JetBrains TeamCityの重大な脆弱性(CVE-2023-42793)を悪用したLazarus GroupのキャンペーンでMicrosoftによって以前に特定されており、セキュリティツールによる検出を回避するためにメモリ内で直接実行され、感染プロセスの次の段階を表しています。

次に、別のローダーである RollMid がメモリ内に展開され、一連の手順を通じて攻撃の準備と C2 サーバーとの通信の確立を行います。

  • 最初の C2 サーバーに接続して、2 番目の C2 サーバーのアドレスを含む HTML ファイルを取得します。
  • 2 番目の C2 サーバーと通信して、ステガノグラフィを使用して隠された有害なコンポーネントを含む PNG 画像を取得します。
  • イメージ内の隠しアドレスを使用して、3 番目の C2 サーバーにデータを送信します。
  • Kaolin RAT を含む 3 番目の C2 サーバーから、追加の Base64 エンコードされたデータ BLOB を取得します。

ラザルスグループはカオリンRAT攻撃で非常に高度な手口を披露

多段階シーケンスの背後にある技術的洗練度は、間違いなく複雑で精巧ですが、やりすぎに近いです。研究者は、Kaolin RAT が RAT の C2 サーバーとの通信を確立した後、FudModule ルートキットの展開への道を開くと考えています。

さらに、このマルウェアは、ファイルの列挙、ファイル操作の実行、C2 サーバーへのファイルのアップロード、ファイルの最終変更タイムスタンプの変更、プロセスの列挙、作成、終了、cmd.exe を使用したコマンドの実行、C2 サーバーからの DLL ファイルのダウンロード、任意のホストへの接続を行う機能を備えています。

Lazarus グループは、偽の求人情報を通じて個人をターゲットにし、高度なツールセットを使用してセキュリティ製品を回避しながら持続性を高めました。このような複雑な攻撃チェーンの開発に多大なリソースを投入したことは明らかです。確かなのは、Lazarus が継続的に革新し、Windows の緩和策やセキュリティ製品のさまざまな側面を調査するために膨大なリソースを割り当てなければならなかったことです。適応力と進化力は、サイバーセキュリティの取り組みにとって大きな課題となります。

トレンド

ウェブバリッド

Rogue Websites, Browser Hijackers
Webvalid.co.inは、訪問者を不必要なブラウザ通知に登録させるように巧妙に設計された詐欺的なウェブサイトです。この侵入的な戦術を採用するとともに、ウェブサイトは Webvalid.co.in は、訪問者を誘導して不要なブラウザ通知を購読させるよう綿密に設計された、欺瞞的な Web サイトとして機能します。この侵入的な戦術を採用するとともに、この Web サイトはリダイレクトをトリガ...

ノサ

Rogue Websites, Browser Hijackers
研究者らは、徹底的な分析の結果、Nosa.co. が、訪問者を誤解させ、通知を購読するよう説得することを目的とした偽のメッセージを広めるなど、欺瞞的な戦略を利用していることを明らかにしました。これらの欺瞞的なメッセージは、ユーザーを騙して「許可」ボタンをクリックさせ、Web サイトにプッシュ通知の送信を許可させるように作られています。この行為により、侵入的で潜在的に有害な広告が配信されたり、...

Trust Wallet Connect 詐欺

Rogue Websites
サイバーセキュリティの専門家が実施した徹底的な分析により、「Trust Wallet Connect」ページが詐欺であることが明確に判明しました。この Web サイトは、正規の Trust Wallet Web サイトに非常によく似せて細心の注意を払って作成されています。ただし、その真の目的は、ユーザーの暗号通貨ウォレットのログイン認証情報を狙ったフィッシング ページとして機能することです。...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
80,700
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
64,187
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
58,860
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...