SuperBear RAT

Phishingová kampaň s pravděpodobným zaměřením na organizace občanské společnosti v Jižní Koreji odhalila dosud neznámou hrozbu RAT (Remote Access Trojan) jménem SuperBear. Bezpečnostní specialisté identifikovali tuto hrozbu v incidentu s neidentifikovaným aktivistou, který koncem srpna 2023 obdržel zfalšovaný soubor LNK. E-mailová adresa podvodného odesílatele napodobovala člena cílové neziskové organizace.

Vícestupňový útočný řetěz přináší užitečné zatížení SuperBear

Po aktivaci spustí soubor LNK příkaz prostředí PowerShell, který zahájí provádění skriptu jazyka Visual Basic. Tento skript na oplátku načítá následující fáze užitečného zatížení z legitimního, ale kompromitovaného webu WordPress.

Toto užitečné zatížení se skládá ze dvou komponent: binárního souboru Autoit3.exe, označeného jako 'solmir.pdb' a skriptu AutoIt známého jako 'solmir_1.pdb.' První slouží jako spouštěcí mechanismus pro druhé.

Skript AutoIt zase využívá techniku procesního vkládání zvanou process hollowing. Tato technika zahrnuje vložení špatného kódu do pozastaveného procesu. V tomto případě vytvoří novou instanci Explorer.exe pro usnadnění injekce dříve neviděného SuperBear RAT.

SuperBear RAT provádí invazivní akce na kompromitovaných systémech

SuperBear RAT provádí tři primární útočné operace: exfiltraci procesních a systémových dat, provádění příkazů shellu a spuštění knihovny DLL. Ve výchozím nastavení server C2 instruuje klienty k exfiltraci a zpracování systémových dat, což je vlastnost často spojovaná s útočnými kampaněmi zaměřenými na průzkumné úsilí.

Kromě toho mohou aktéři hrozeb nařídit RAT, aby provedl příkazy shellu nebo stáhl kompromitovanou knihovnu DLL do postiženého počítače. V případech, kdy DLL potřebuje název souboru, pokusí se vygenerovat náhodný; v případě neúspěchu se jako výchozí použije název 'SuperBear.' Tato hrozba získala své jméno díky tomuto chování, které odráží její dynamický přístup ke generování souborů.

Útok je předběžně připisován severokorejskému národnímu státnímu aktérovi známému jako Kimsuky (také označovaný jako APT43 nebo přezdívkami jako Emerald Sleet, Nickel Kimball a Velvet Chollima). Tato atribuce vychází z podobnosti mezi vektorem počátečního útoku a použitými příkazy PowerShellu.

Hrozby RAT lze přizpůsobit tak, aby vyhovovaly agendě kyberzločinců

Hrozby RAT (Remote Access Trojan), které lze upravit tak, aby vyhovovaly agendě kyberzločince, představují značné nebezpečí díky své všestrannosti a přizpůsobivosti. Zde jsou některá klíčová nebezpečí spojená s takovými hrozbami:

• Neomezené dálkové ovládání : RAT poskytují kyberzločincům úplný a neomezený přístup k infikovanému systému. Tato úroveň kontroly jim umožňuje provádět širokou škálu škodlivých činností, včetně krádeží dat, sledování a manipulace se systémem, a to vše bez vědomí nebo souhlasu oběti.
• Krádež dat : Kyberzločinci mohou používat RAT ke shromažďování citlivých informací, jako jsou osobní údaje, finanční záznamy, přihlašovací údaje, duševní vlastnictví a další. Shromážděná data lze prodat na temném webu nebo použít ke krádeži identity, finančním podvodům nebo firemní špionáži.
• Špionáž a sledování : Přizpůsobitelné RAT se často používají pro špionážní účely, které umožňují kyberzločincům sledovat a zaznamenávat aktivity oběti, pořizovat snímky obrazovky, zaznamenávat úhozy a dokonce aktivovat webovou kameru a mikrofon oběti. To může vést k porušování soukromí a shromažďování citlivých osobních nebo firemních informací.
• Trvalý přístup : RAT jsou navrženy tak, aby udržely trvalý přístup k infikovanému systému, což umožňuje kyberzločincům udržet kontrolu nad napadeným zařízením po delší dobu. Díky této vytrvalosti je pro oběti obtížné detekovat a odstraňovat malware, což útočníkům poskytuje stálou oporu v systému.
• Šíření a šíření : Přizpůsobené RAT lze naprogramovat tak, aby se šířily do dalších systémů v rámci sítě, což může vést ke kompromitaci více zařízení a dokonce i celých organizací. To může mít za následek rozsáhlé škody, narušení dat a provozní narušení.
• Přizpůsobené útoky : Kyberzločinci mohou přizpůsobit RAT tak, aby prováděly konkrétní vektory útoků, což bezpečnostnímu softwaru znesnadňuje jejich detekci a prevenci. Tyto útoky mohou být navrženy tak, aby cílily na konkrétní organizace, průmyslová odvětví nebo jednotlivce, čímž se zvýší šance na úspěch.
• Únikové detekce : Přizpůsobené RAT často obsahují techniky antidetekce, včetně šifrování, zatemňování a polymorfismu, což ztěžuje bezpečnostním řešením identifikaci a zmírnění hrozby. To umožňuje útočníkům zůstat skryti a vyhnout se odhalení po delší dobu.
• Nasazení ransomwaru : RAT lze použít jako prostředek k poskytování dat ransomwaru, zamykání obětí z jejich vlastních systémů nebo šifrování jejich dat. Kyberzločinci pak mohou požadovat výkupné výměnou za dešifrovací klíč, což způsobí finanční a provozní narušení.
• Formace botnetu : Přizpůsobitelné RAT lze použít k náboru infikovaných zařízení do botnetu, který pak lze využít k různým škodlivým účelům, jako jsou distribuované útoky typu denial-of-service (DDoS), distribuce spamu nebo další šíření malwaru.

Stručně řečeno, hrozby RAT, které lze přizpůsobit tak, aby vyhovovaly cílům kyberzločinců, představují mnohostranné nebezpečí, protože umožňují širokou škálu nebezpečných činností s potenciálem významného finančního, provozního a dobrého poškození jednotlivců, organizací a dokonce celých sektorů. Pro boj s těmito hrozbami jsou nezbytná robustní opatření v oblasti kybernetické bezpečnosti, včetně pravidelných aktualizací, školení zaměstnanců a pokročilých nástrojů pro detekci a prevenci hrozeb.