Descomptes multi-llicència
Threat Database Malware SuperBear RAT

SuperBear RAT

El Mezo el Malware, Advanced Persistent Threat (APT), Remote Administration Tools
Traduir a:
Català

Una campanya de pesca amb un enfocament probable a les organitzacions de la societat civil de Corea del Sud ha revelat una amenaça RAT (troià d'accés remot) desconeguda anteriorment anomenada SuperBear. Els especialistes en seguretat han identificat aquesta amenaça en un incident relacionat amb un activista no identificat que va rebre un fitxer LNK manipulat a finals d'agost de 2023. L'adreça electrònica del remitent enganyós imitava un membre de l'organització sense ànim de lucre.

Una cadena d'atac en diverses etapes ofereix la càrrega útil de SuperBear

En activar-se, el fitxer LNK activa una ordre de PowerShell per iniciar l'execució d'un script de Visual Basic. Aquest script, al seu torn, recupera les càrregues útils de l'etapa posterior d'un lloc web de WordPress legítim però compromès.

Aquesta càrrega útil consta de dos components: el binari Autoit3.exe, identificat com a "solmir.pdb" i un script d'AutoIt conegut com a "solmir_1.pdb". El primer serveix com a mecanisme de llançament del segon.

L'script AutoIt, al seu torn, utilitza una tècnica d'injecció de processos anomenada process hollowing. Aquesta tècnica consisteix a inserir codi dolent en un procés suspès. En aquest cas, crea una nova instància d'Explorer.exe per facilitar la injecció del SuperBear RAT no vist fins ara.

El SuperBear RAT realitza accions invasives en sistemes compromesos

El SuperBear RAT realitza tres operacions d'atac principals: extreure dades del procés i del sistema, executar ordres de shell i executar una DLL. Per defecte, el servidor C2 indica als clients que s'exfiltrin i processin les dades del sistema, una característica sovint associada a les campanyes d'atac centrades en els esforços de reconeixement.

A més, els actors d'amenaça poden dirigir la RAT perquè executi ordres de l'intèrpret d'ordres o descarregui una DLL compromesa a la màquina afectada. En els casos en què la DLL necessita un nom de fitxer, intentarà generar-ne un a l'atzar; si no té èxit, el nom predeterminat és "SuperBear". Aquesta amenaça es va guanyar el seu nom d'aquest comportament, que reflecteix el seu enfocament dinàmic de generació de noms de fitxer.

L'atac s'atribueix provisionalment a un actor d'estat-nació de Corea del Nord conegut com a Kimsuky (també conegut com APT43 o per àlies com Emerald Sleet, Nickel Kimball i Velvet Chollima). Aquesta atribució s'extreu de la semblança entre el vector d'atac inicial i les ordres de PowerShell emprades.

Les amenaces de RAT es podrien personalitzar per adaptar-se a l'agenda dels cibercriminals

Les amenaces RAT (troià d'accés remot) que es poden personalitzar per adaptar-se a l'agenda d'un cibercriminal suposen perills importants a causa de la seva naturalesa versàtil i adaptable. Aquests són alguns dels perills clau associats amb aquestes amenaces:

  • Control remot sense restriccions : les RAT proporcionen als ciberdelinqüents accés complet i sense restriccions a un sistema infectat. Aquest nivell de control els permet dur a terme una àmplia gamma d'activitats perjudicials, com ara robatori de dades, vigilància i manipulació del sistema, tot sense el coneixement o el consentiment de la víctima.
  • Robatori de dades : els ciberdelinqüents poden utilitzar RAT per recollir informació sensible com ara dades personals, registres financers, credencials d'inici de sessió, propietat intel·lectual i molt més. Les dades recollides es poden vendre a la web fosca o utilitzar-se per robar identitat, frau financer o espionatge corporatiu.
  • Espionatge i vigilància : sovint s'utilitzen RAT personalitzables amb finalitats d'espionatge, la qual cosa permet als ciberdelinqüents supervisar i gravar les activitats d'una víctima, capturar captures de pantalla, gravar les pulsacions de tecla i fins i tot activar la càmera web i el micròfon de la víctima. Això pot generar violacions de la privadesa i la recollida d'informació personal o corporativa sensible.
  • Accés persistent : les RAT estan dissenyades per mantenir l'accés persistent a un sistema infectat, permetent als ciberdelinqüents mantenir el control sobre el dispositiu compromès durant un període prolongat. Aquesta persistència fa que sigui difícil per a les víctimes detectar i eliminar el programari maliciós, proporcionant als atacants un punt de suport constant al sistema.
  • Propagació i propagació : les RAT personalitzades es poden programar per estendre's a altres sistemes dins d'una xarxa, cosa que pot comportar el compromís de diversos dispositius i fins i tot d'organitzacions senceres. Això pot provocar danys generalitzats, violacions de dades i interrupcions operatives.
  • Atacs personalitzats : els ciberdelinqüents poden adaptar les RAT per executar vectors d'atac específics, cosa que dificulta que el programari de seguretat els detecti i els impedeixi. Aquests atacs es poden dissenyar per dirigir-se a organitzacions, indústries o individus específics, augmentant les possibilitats d'èxit.
  • Evadir la detecció : les RAT personalitzades sovint incorporen tècniques anti-detecció, com ara el xifratge, l'ofuscació i el polimorfisme, cosa que fa que les solucions de seguretat siguin difícils d'identificar i mitigar l'amenaça. Això permet als atacants romandre ocults i evitar la detecció durant períodes prolongats.
  • Desplegament de ransomware : els RAT es poden utilitzar com a mitjà per lliurar càrregues útils de ransomware, bloquejar les víctimes fora dels seus propis sistemes o xifrar les seves dades. Aleshores, els ciberdelinqüents poden demanar un rescat a canvi de la clau de desxifrat, provocant interrupcions financeres i operatives.
  • Formació de botnets : es poden utilitzar RAT personalitzables per reclutar dispositius infectats en una botnet, que després es poden aprofitar per a diversos propòsits maliciosos, com ara atacs de denegació de servei distribuïts (DDoS), distribució de correu brossa o propagació addicional de programari maliciós.

En resum, les amenaces RAT que es poden personalitzar per adaptar-se als objectius dels ciberdelinqüents suposen un perill multifacètic, ja que permeten una àmplia gamma d'activitats insegures amb el potencial de danys financers, operatius i de reputació significatius a persones, organitzacions i fins i tot sectors sencers. Per combatre aquestes amenaces, són essencials mesures sòlides de ciberseguretat, com ara actualitzacions periòdiques, formació dels empleats i eines avançades de detecció i prevenció d'amenaces.

Tendència

Més vist

Carregant...