Εκπτώσεις πολλαπλών αδειών
Threat Database Malware SuperBear RAT

SuperBear RAT

Μέχρι το Mezo το Malware, Advanced Persistent Threat (APT), Remote Administration Tools
Μετάφραση σε:
Ελληνικά

Μια εκστρατεία phishing με πιθανή εστίαση σε οργανώσεις της κοινωνίας των πολιτών της Νότιας Κορέας αποκάλυψε μια προηγουμένως άγνωστη απειλή RAT (Remote Access Trojan) με το όνομα SuperBear. Οι ειδικοί ασφαλείας εντόπισαν αυτήν την απειλή σε ένα περιστατικό που αφορούσε έναν άγνωστο ακτιβιστή ο οποίος έλαβε ένα παραποιημένο αρχείο LNK προς τα τέλη Αυγούστου 2023. Η διεύθυνση email του παραπλανητικού αποστολέα μιμήθηκε ένα μέλος της στοχευόμενης μη κερδοσκοπικής οργάνωσης.

Μια αλυσίδα επίθεσης πολλαπλών σταδίων παραδίδει το ωφέλιμο φορτίο SuperBear

Κατά την ενεργοποίηση, το αρχείο LNK ενεργοποιεί μια εντολή PowerShell για να ξεκινήσει η εκτέλεση μιας δέσμης ενεργειών της Visual Basic. Αυτό το σενάριο, με τη σειρά του, ανακτά τα ωφέλιμα φορτία των επόμενων σταδίων από έναν νόμιμο αλλά παραβιασμένο ιστότοπο WordPress.

Αυτό το ωφέλιμο φορτίο περιλαμβάνει δύο στοιχεία: το δυαδικό αρχείο Autoit3.exe, που προσδιορίζεται ως "solmir.pdb" και ένα σενάριο AutoIt γνωστό ως "solmir_1.pdb". Το πρώτο χρησιμεύει ως μηχανισμός εκτόξευσης για το δεύτερο.

Το σενάριο AutoIt, με τη σειρά του, χρησιμοποιεί μια τεχνική έγχυσης διαδικασίας που ονομάζεται διεργασία hollowing. Αυτή η τεχνική περιλαμβάνει την εισαγωγή κακού κώδικα σε μια διαδικασία που έχει ανασταλεί. Σε αυτήν την περίπτωση, δημιουργεί μια νέα παρουσία του Explorer.exe για να διευκολύνει την έγχυση του SuperBear RAT που δεν είχε προηγουμένως εμφανιστεί.

Το SuperBear RAT εκτελεί επεμβατικές ενέργειες σε υποβαθμισμένα συστήματα

Το SuperBear RAT εκτελεί τρεις κύριες λειτουργίες επίθεσης: εξαγωγή δεδομένων διεργασίας και συστήματος, εκτέλεση εντολών φλοιού και εκτέλεση DLL. Από προεπιλογή, ο διακομιστής C2 καθοδηγεί τους πελάτες να εκμεταλλεύονται και να επεξεργάζονται δεδομένα συστήματος, ένα χαρακτηριστικό που συχνά συνδέεται με εκστρατείες επίθεσης που επικεντρώνονται σε προσπάθειες αναγνώρισης.

Επιπλέον, οι φορείς απειλών μπορούν να κατευθύνουν το RAT για να εκτελέσει εντολές φλοιού ή να κατεβάσει ένα παραβιασμένο DLL στο επηρεαζόμενο μηχάνημα. Σε περιπτώσεις όπου το DLL χρειάζεται ένα όνομα αρχείου, θα προσπαθήσει να δημιουργήσει ένα τυχαίο. Εάν δεν είναι επιτυχής, ορίζεται ως προεπιλογή στο όνομα "SuperBear". Αυτή η απειλή κέρδισε το όνομά της από αυτήν τη συμπεριφορά, αντικατοπτρίζοντας τη δυναμική προσέγγιση δημιουργίας ονομάτων αρχείου.

Η επίθεση αποδίδεται δοκιμαστικά σε έναν ηθοποιό έθνους-κράτους της Βόρειας Κορέας γνωστός ως Kimsuky (αναφέρεται επίσης ως APT43 ή με ψευδώνυμα όπως Emerald Sleet, Nickel Kimball και Velvet Chollima). Αυτή η απόδοση προκύπτει από την ομοιότητα μεταξύ του αρχικού διανύσματος επίθεσης και των εντολών PowerShell που χρησιμοποιούνται.

Οι απειλές RAT θα μπορούσαν να προσαρμοστούν ώστε να ταιριάζουν στην ατζέντα για τους κυβερνοεγκληματίες

Οι απειλές RAT (Remote Access Trojan) που μπορούν να προσαρμοστούν ώστε να ταιριάζουν στην ατζέντα ενός κυβερνοεγκληματία ενέχουν σημαντικούς κινδύνους λόγω της ευέλικτης και προσαρμόσιμης φύσης τους. Ακολουθούν ορισμένοι βασικοί κίνδυνοι που σχετίζονται με τέτοιες απειλές:

  • Απεριόριστο Τηλεχειριστήριο : Οι RAT παρέχουν στους εγκληματίες του κυβερνοχώρου πλήρη και απεριόριστη πρόσβαση σε ένα μολυσμένο σύστημα. Αυτό το επίπεδο ελέγχου τους επιτρέπει να πραγματοποιούν ένα ευρύ φάσμα επιβλαβών δραστηριοτήτων, συμπεριλαμβανομένης της κλοπής δεδομένων, της επιτήρησης και της χειραγώγησης του συστήματος, όλα χωρίς τη γνώση ή τη συγκατάθεση του θύματος.
  • Κλοπή δεδομένων : Οι εγκληματίες του κυβερνοχώρου μπορούν να χρησιμοποιήσουν RAT για τη συλλογή ευαίσθητων πληροφοριών, όπως προσωπικά δεδομένα, οικονομικά αρχεία, διαπιστευτήρια σύνδεσης, πνευματική ιδιοκτησία και άλλα. Τα δεδομένα που συλλέγονται μπορούν να πωληθούν στο Dark Web ή να χρησιμοποιηθούν για κλοπή ταυτότητας, οικονομική απάτη ή εταιρική κατασκοπεία.
  • Κατασκοπεία και επιτήρηση : Οι προσαρμόσιμοι RAT χρησιμοποιούνται συχνά για σκοπούς κατασκοπείας, επιτρέποντας στους εγκληματίες του κυβερνοχώρου να παρακολουθούν και να καταγράφουν τις δραστηριότητες ενός θύματος, να τραβούν στιγμιότυπα οθόνης, να καταγράφουν πατήματα πλήκτρων και ακόμη και να ενεργοποιούν την κάμερα web και το μικρόφωνο του θύματος. Αυτό μπορεί να προκαλέσει παραβιάσεις απορρήτου και συλλογή ευαίσθητων προσωπικών ή εταιρικών πληροφοριών.
  • Μόνιμη πρόσβαση : Οι RAT έχουν σχεδιαστεί για να διατηρούν μόνιμη πρόσβαση σε ένα μολυσμένο σύστημα, επιτρέποντας στους εγκληματίες του κυβερνοχώρου να διατηρήσουν τον έλεγχο της παραβιασμένης συσκευής για μεγάλο χρονικό διάστημα. Αυτή η επιμονή καθιστά δύσκολο για τα θύματα να εντοπίσουν και να αφαιρέσουν το κακόβουλο λογισμικό, παρέχοντας στους εισβολείς μια συνεχή βάση στο σύστημα.
  • Διάδοση και διάδοση : Οι προσαρμοσμένοι RAT μπορούν να προγραμματιστούν για να εξαπλωθούν σε άλλα συστήματα εντός ενός δικτύου, οδηγώντας δυνητικά σε παραβίαση πολλών συσκευών και ακόμη και ολόκληρων οργανισμών. Αυτό μπορεί να οδηγήσει σε εκτεταμένες ζημιές, παραβιάσεις δεδομένων και λειτουργικές διακοπές.
  • Προσαρμοσμένες επιθέσεις : Οι εγκληματίες του κυβερνοχώρου μπορούν να προσαρμόσουν τους RAT για να εκτελούν συγκεκριμένα διανύσματα επιθέσεων, καθιστώντας δύσκολη την ανίχνευση και την αποτροπή τους από το λογισμικό ασφαλείας. Αυτές οι επιθέσεις μπορούν να σχεδιαστούν για να στοχεύουν συγκεκριμένους οργανισμούς, βιομηχανίες ή άτομα, αυξάνοντας τις πιθανότητες επιτυχίας.
  • Ανίχνευση αποφυγής : Οι προσαρμοσμένοι RAT συχνά ενσωματώνουν τεχνικές αντι-ανίχνευσης, συμπεριλαμβανομένης της κρυπτογράφησης, της συσκότισης και του πολυμορφισμού, γεγονός που καθιστά δύσκολη την αναγνώριση και τον μετριασμό της απειλής για λύσεις ασφαλείας. Αυτό επιτρέπει στους εισβολείς να παραμείνουν κρυφοί και να αποφύγουν τον εντοπισμό για εκτεταμένες περιόδους.
  • Ανάπτυξη Ransomware : Οι RAT μπορούν να χρησιμοποιηθούν ως μέσο για την παράδοση ωφέλιμων φορτίων ransomware, το κλείδωμα των θυμάτων από τα δικά τους συστήματα ή την κρυπτογράφηση των δεδομένων τους. Οι εγκληματίες του κυβερνοχώρου μπορούν στη συνέχεια να ζητήσουν λύτρα σε αντάλλαγμα για το κλειδί αποκρυπτογράφησης, προκαλώντας οικονομικές και λειτουργικές διακοπές.
  • Σχηματισμός Botnet : Οι προσαρμόσιμοι RAT μπορούν να χρησιμοποιηθούν για τη στρατολόγηση μολυσμένων συσκευών σε ένα botnet, το οποίο στη συνέχεια μπορεί να αξιοποιηθεί για διάφορους κακόβουλους σκοπούς, όπως κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS), διανομή ανεπιθύμητων μηνυμάτων ή περαιτέρω διάδοση κακόβουλου λογισμικού.

Συνοπτικά, οι απειλές RAT που μπορούν να προσαρμοστούν για να ταιριάζουν στους στόχους των εγκληματιών του κυβερνοχώρου αποτελούν πολύπλευρο κίνδυνο, καθώς επιτρέπουν ένα ευρύ φάσμα μη ασφαλών δραστηριοτήτων με πιθανότητα σημαντικής οικονομικής, λειτουργικής και φήμης βλάβης σε άτομα, οργανισμούς, ακόμη και σε ολόκληρους τομείς. Για την καταπολέμηση αυτών των απειλών, είναι απαραίτητα αυστηρά μέτρα κυβερνοασφάλειας, συμπεριλαμβανομένων τακτικών ενημερώσεων, εκπαίδευσης εργαζομένων και προηγμένων εργαλείων ανίχνευσης και πρόληψης απειλών.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...