SuperBear RAT

En phishing-kampagne med et sandsynligt fokus på sydkoreanske civilsamfundsorganisationer har afsløret en hidtil ukendt RAT (Remote Access Trojan) trussel ved navn SuperBear. Sikkerhedsspecialister har identificeret denne trussel i en hændelse, der involverer en uidentificeret aktivist, som modtog en manipuleret LNK-fil i slutningen af august 2023. Den vildledende afsenderes e-mailadresse efterlignede et medlem af den målrettede non-profit organisation.

En flertrins angrebskæde leverer SuperBear-nyttelasten

Ved aktivering udløser LNK-filen en PowerShell-kommando for at starte udførelsen af et Visual Basic-script. Dette script henter til gengæld de efterfølgende trins nyttelaster fra et legitimt, men kompromitteret WordPress-websted.

Denne nyttelast består af to komponenter: Autoit3.exe-binæren, identificeret som 'solmir.pdb', og et AutoIt-script kendt som 'solmir_1.pdb.' Førstnævnte tjener som lanceringsmekanisme for sidstnævnte.

AutoIt-scriptet anvender til gengæld en procesinjektionsteknik kaldet procesudhulning. Denne teknik involverer indsættelse af dårlig kode i en suspenderet proces. I dette tilfælde opretter den en ny forekomst af Explorer.exe for at lette injektionen af den tidligere usete SuperBear RAT.

SuperBear RAT udfører invasive handlinger på kompromitterede systemer

SuperBear RAT udfører tre primære angrebsoperationer: eksfiltrering af proces- og systemdata, udførelse af shell-kommandoer og kørsel af en DLL. Som standard instruerer C2-serveren klienter i at eksfiltrere og behandle systemdata, en egenskab, der ofte forbindes med angrebskampagner med fokus på rekognosceringsindsats.

Derudover kan trusselsaktører instruere RAT til at udføre shell-kommandoer eller downloade en kompromitteret DLL til den berørte maskine. I tilfælde hvor DLL'en har brug for et filnavn, vil den forsøge at generere et tilfældigt; hvis det ikke lykkes, er det standardnavnet 'SuperBear'. Denne trussel har fået sit navn fra denne adfærd, hvilket afspejler dens dynamiske tilgang til filnavngenerering.

Angrebet tilskrives foreløbigt en nordkoreansk nationalstatsaktør kendt som Kimsuky (også omtalt som APT43 eller af aliaser som Emerald Sleet, Nickel Kimball og Velvet Chollima). Denne tilskrivning er hentet fra ligheden mellem den indledende angrebsvektor og de anvendte PowerShell-kommandoer.

RAT-trusler kunne tilpasses til at passe til cyberkriminelles dagsorden

RAT-trusler (Remote Access Trojan), der kan tilpasses til at passe til en cyberkriminelles dagsorden, udgør betydelige farer på grund af deres alsidige og tilpasningsdygtige natur. Her er nogle vigtige farer forbundet med sådanne trusler:

• Ubegrænset fjernbetjening : RAT'er giver cyberkriminelle fuldstændig og ubegrænset adgang til et inficeret system. Dette kontrolniveau giver dem mulighed for at udføre en bred vifte af skadelige aktiviteter, herunder datatyveri, overvågning og systemmanipulation, alt sammen uden ofrets viden eller samtykke.
• Datatyveri : Cyberkriminelle kan bruge RAT'er til at indsamle følsomme oplysninger såsom personlige data, økonomiske optegnelser, loginoplysninger, intellektuel ejendom og mere. De indsamlede data kan sælges på Dark Web eller bruges til identitetstyveri, økonomisk bedrageri eller virksomhedsspionage.
• Spionage og overvågning : RAT'er, der kan tilpasses, bruges ofte til spionageformål, hvilket gør det muligt for cyberkriminelle at overvåge og optage et offers aktiviteter, tage skærmbilleder, optage tastetryk og endda aktivere ofrets webcam og mikrofon. Dette kan generere krænkelser af privatlivets fred og indsamling af følsomme personlige eller virksomhedsoplysninger.
• Vedvarende adgang : RAT'er er designet til at opretholde vedvarende adgang til et inficeret system, hvilket giver cyberkriminelle mulighed for at bevare kontrollen over den kompromitterede enhed i en længere periode. Denne vedholdenhed gør det udfordrende for ofre at opdage og fjerne malwaren, hvilket giver angribere et løbende fodfæste i systemet.
• Udbredelse og spredning : Tilpassede RAT'er kan programmeres til at spredes til andre systemer inden for et netværk, hvilket potentielt kan føre til kompromittering af flere enheder og endda hele organisationer. Dette kan resultere i omfattende skader, databrud og driftsforstyrrelser.
• Tilpassede angreb : Cyberkriminelle kan skræddersy RAT'er til at udføre specifikke angrebsvektorer, hvilket gør det vanskeligt for sikkerhedssoftware at opdage og forhindre dem. Disse angreb kan designes til at målrette specifikke organisationer, industrier eller enkeltpersoner, hvilket øger chancerne for succes.
• Undgå detektion : Tilpassede RAT'er inkorporerer ofte anti-detektionsteknikker, herunder kryptering, sløring og polymorfi, hvilket gør det udfordrende for sikkerhedsløsninger at identificere og afbøde truslen. Dette gør det muligt for angribere at forblive skjult og undgå opdagelse i længere perioder.
• Ransomware-implementering : RAT'er kan bruges som et middel til at levere ransomware-nyttelast, låse ofre ude af deres egne systemer eller kryptere deres data. Cyberkriminelle kan derefter kræve en løsesum i bytte for dekrypteringsnøglen, hvilket forårsager økonomiske og operationelle forstyrrelser.
• Botnet-dannelse : RAT'er, der kan tilpasses, kan bruges til at rekruttere inficerede enheder til et botnet, som derefter kan udnyttes til forskellige ondsindede formål, såsom distribuerede denial-of-service (DDoS)-angreb, spam-distribution eller yderligere udbredelse af malware.

Sammenfattende udgør RAT-trusler, der kan tilpasses til at passe cyberkriminelles mål, en mangefacetteret fare, da de muliggør en bred vifte af usikre aktiviteter med potentiale for betydelig økonomisk, operationel og omdømmeskade på enkeltpersoner, organisationer og endda hele sektorer. For at bekæmpe disse trusler er robuste cybersikkerhedsforanstaltninger, herunder regelmæssige opdateringer, medarbejderuddannelse og avancerede trusselsdetektions- og forebyggelsesværktøjer afgørende.