SuperBear RAT
Фишинг кампания с вероятен фокус върху организации на гражданското общество в Южна Корея разкри неизвестна досега заплаха RAT (троянски кон за отдалечен достъп), наречена SuperBear. Специалистите по сигурността са идентифицирали тази заплаха в инцидент с неидентифициран активист, който е получил подправен LNK файл към края на август 2023 г. Имейл адресът на измамния подател имитира член на целевата организация с нестопанска цел.
Съдържание
Многоетапна верига за атака доставя полезния товар на SuperBear
При активиране, LNK файлът задейства команда на PowerShell, за да започне изпълнението на скрипт на Visual Basic. Този скрипт от своя страна извлича полезните натоварвания на последващия етап от легитимен, но компрометиран уебсайт на WordPress.
Този полезен товар се състои от два компонента: двоичен файл Autoit3.exe, идентифициран като „solmir.pdb“, и скрипт на AutoIt, известен като „solmir_1.pdb“. Първият служи като механизъм за стартиране на втория.
Скриптът AutoIt, от своя страна, използва техника за инжектиране на процес, наречена процес hollowing. Тази техника включва вмъкване на лош код в спрян процес. В този случай той създава нов екземпляр на Explorer.exe, за да улесни инжектирането на невиждания преди това SuperBear RAT.
SuperBear RAT извършва инвазивни действия върху компрометирани системи
SuperBear RAT извършва три основни операции за атака: ексфилтриране на процеси и системни данни, изпълнение на команди на обвивката и стартиране на DLL. По подразбиране сървърът C2 инструктира клиентите да ексфилтрират и обработват системни данни, характеристика, често свързвана с кампании за атака, фокусирани върху разузнавателни усилия.
Освен това участниците в заплахата могат да насочат RAT да изпълни команди на обвивката или да изтегли компрометирана DLL на засегнатата машина. В случаите, когато DLL се нуждае от име на файл, той ще се опита да генерира произволно такова; ако не успее, по подразбиране се използва името „SuperBear“. Тази заплаха спечели името си от това поведение, което отразява нейния динамичен подход за генериране на имена на файлове.
Атаката условно се приписва на севернокорейски национален държавен актьор, известен като Kimsuky (наричан още APT43 или с псевдоними като Emerald Sleet, Nickel Kimball и Velvet Chollima). Това приписване се извлича от приликата между първоначалния вектор на атака и използваните команди на PowerShell.
RAT заплахите могат да бъдат персонализирани, за да отговарят на програмата на киберпрестъпниците
RAT (троянски кон за отдалечен достъп), които могат да бъдат персонализирани, за да отговарят на дневния ред на киберпрестъпниците, представляват значителни опасности поради тяхната гъвкава и адаптивна природа. Ето някои основни опасности, свързани с такива заплахи:
- Неограничено дистанционно управление : RAT предоставят на киберпрестъпниците пълен и неограничен достъп до заразена система. Това ниво на контрол им позволява да извършват широк набор от вредни дейности, включително кражба на данни, наблюдение и манипулиране на системата, всичко това без знанието или съгласието на жертвата.
- Кражба на данни : Киберпрестъпниците могат да използват RAT, за да събират чувствителна информация като лични данни, финансови записи, идентификационни данни за вход, интелектуална собственост и др. Събраните данни могат да бъдат продадени в Тъмната мрежа или използвани за кражба на самоличност, финансови измами или корпоративен шпионаж.
- Шпионаж и наблюдение : Персонализиращите се RAT често се използват за шпионски цели, като позволяват на киберпрестъпниците да наблюдават и записват дейностите на жертвата, да заснемат екранни снимки, да записват натискания на клавиши и дори да активират уеб камерата и микрофона на жертвата. Това може да генерира нарушения на поверителността и събиране на чувствителна лична или корпоративна информация.
- Постоянен достъп : RATs са проектирани да поддържат постоянен достъп до заразена система, позволявайки на киберпрестъпниците да поддържат контрол над компрометираното устройство за продължителен период от време. Тази устойчивост прави предизвикателство за жертвите да открият и премахнат зловреден софтуер, осигурявайки на нападателите постоянна опора в системата.
- Разпространение и разпространение : Персонализираните RATs могат да бъдат програмирани да се разпространяват към други системи в мрежата, което потенциално води до компрометиране на множество устройства и дори цели организации. Това може да доведе до широко разпространени щети, нарушения на данните и оперативни смущения.
- Персонализирани атаки : Киберпрестъпниците могат да приспособят RATs, за да изпълняват специфични вектори на атака, което затруднява софтуера за сигурност да ги открие и предотврати. Тези атаки могат да бъдат проектирани да са насочени към конкретни организации, индустрии или лица, увеличавайки шансовете за успех.
- Избягване на откриване : Персонализираните RATs често включват техники за анти-откриване, включително криптиране, обфускация и полиморфизъм, което прави предизвикателство за решенията за сигурност да идентифицират и смекчат заплахата. Това позволява на нападателите да останат скрити и да избегнат откриване за продължителни периоди.
- Внедряване на рансъмуер : RATs могат да се използват като средство за доставяне на рансъмуер, блокирайки жертвите от собствените им системи или криптирайки данните им. След това киберпрестъпниците могат да поискат откуп в замяна на ключа за дешифриране, причинявайки финансови и оперативни смущения.
- Формиране на ботнет : Персонализиращите се RATs могат да се използват за набиране на заразени устройства в ботнет, които след това могат да бъдат използвани за различни злонамерени цели, като разпределени атаки за отказ на услуга (DDoS), разпространение на спам или по-нататъшно разпространение на зловреден софтуер.
В обобщение, RAT заплахите, които могат да бъдат персонализирани, за да отговарят на целите на киберпрестъпниците, представляват многостранна опасност, тъй като позволяват широк спектър от опасни дейности с потенциал за значителни финансови, оперативни и репутационни щети на лица, организации и дори цели сектори. За борба с тези заплахи са от съществено значение стабилните мерки за киберсигурност, включително редовни актуализации, обучение на служители и усъвършенствани инструменти за откриване и предотвратяване на заплахи.
