SuperKaru ROT

Andmepüügikampaania, mis tõenäoliselt keskendub Lõuna-Korea kodanikuühiskonna organisatsioonidele, tõi välja senitundmatu RAT-i (Remote Access Trojan) ohu nimega SuperBear. Turvaspetsialistid tuvastasid selle ohu intsidendis, milles osales tuvastamata aktivist, kes sai 2023. aasta augusti lõpus võltsitud LNK-faili. Petlik saatja e-posti aadress jäljendas sihtmärgiks olnud mittetulundusühingu liiget.

Mitmeastmeline rünnakukett tagab SuperBeari kasuliku koormuse

Aktiveerimisel käivitab LNK-fail PowerShelli käsu Visual Basicu skripti käivitamiseks. See skript omakorda hangib järgmise etapi kasulikud koormused legitiimselt, kuid ohustatud WordPressi veebisaidilt.

See kasulik koormus koosneb kahest komponendist: Autoit3.exe binaarfailist, mis on identifitseeritud kui "solmir.pdb", ja AutoIt skriptist, mida tuntakse kui "solmir_1.pdb". Esimene toimib teise käivitusmehhanismina.

AutoIt skript kasutab omakorda protsessi süstimise tehnikat, mida nimetatakse protsessi õõnestamiseks. See meetod hõlmab halva koodi sisestamist peatatud protsessi. Sel juhul loob see Explorer.exe uue eksemplari, et hõlbustada varem nähtamatu SuperBear RAT-i süstimist.

SuperBear RAT teostab ohustatud süsteemides invasiivseid toiminguid

SuperBear RAT teostab kolme peamist ründetoimingut: protsesside ja süsteemiandmete väljafiltreerimine, shellikäskude täitmine ja DLL-i käitamine. Vaikimisi juhendab C2 server kliente süsteemiandmeid välja filtreerima ja töötlema – seda omadust seostatakse sageli luuretegevusele keskendunud rünnakukampaaniatega.

Lisaks saavad ohus osalejad suunata RAT-i täitma shellikäske või alla laadima kahjustatud DLL-i mõjutatud masinasse. Juhtudel, kui DLL vajab failinime, proovib see luua juhusliku failinime; kui see ei õnnestu, on vaikimisi nimi SuperBear. See oht teenis oma nime selle käitumise järgi, peegeldades selle dünaamilise failinime genereerimise lähenemisviisi.

Esialgselt omistatakse rünnak Põhja-Korea rahvusriigi näitlejale, keda tuntakse Kimsuky nime all (nimetatakse ka kui APT43 või varjunimedega nagu Emerald Sleet, Nickel Kimball ja Velvet Chollima). See omistamine tuleneb esialgse ründevektori ja kasutatud PowerShelli käskude sarnasusest.

RAT-ähvardusi saab kohandada vastavalt küberkurjategijate tegevuskavale

RAT (Remote Access Trojan) ohud, mida saab kohandada nii, et need sobiksid küberkurjategijate päevakorda, kujutavad endast märkimisväärset ohtu oma mitmekülgse ja kohandatava olemuse tõttu. Siin on mõned selliste ohtudega seotud peamised ohud:

• Piiramatu kaugjuhtimispult : RAT-id pakuvad küberkurjategijatele täielikku ja piiramatut juurdepääsu nakatunud süsteemile. Selline kontrollitase võimaldab neil sooritada mitmesuguseid kahjulikke tegevusi, sealhulgas andmete vargusi, jälgimist ja süsteemiga manipuleerimist, kõike seda ilma ohvri teadmata või nõusolekuta.
• Andmete vargus : küberkurjategijad saavad kasutada RAT-e, et koguda tundlikku teavet, nagu isikuandmed, finantsdokumendid, sisselogimismandaadid, intellektuaalomand ja palju muud. Kogutud andmeid saab müüa Dark Web'is või kasutada identiteedivargusteks, finantspettusteks või ettevõtte spionaažiks.
• Spionaaž ja jälgimine : spionaaži eesmärgil kasutatakse sageli kohandatavaid RAT-e, mis võimaldavad küberkurjategijatel jälgida ja salvestada ohvri tegevust, jäädvustada ekraanipilte, salvestada klahvivajutusi ja isegi aktiveerida ohvri veebikaamera ja mikrofoni. See võib tekitada privaatsuse rikkumisi ja tundliku isiku- või ettevõtteteabe kogumist.
• Püsiv juurdepääs : RAT-id on loodud selleks, et säilitada püsiv juurdepääs nakatunud süsteemile, võimaldades küberkurjategijatel säilitada kontrolli ohustatud seadme üle pikema aja jooksul. See püsivus muudab ohvrite jaoks pahavara tuvastamise ja eemaldamise keeruliseks, pakkudes ründajatele süsteemis pidevat tugipunkti.
• Levitamine ja levitamine : kohandatud RAT-e saab programmeerida levima võrgus teistele süsteemidele, mis võib viia mitme seadme ja isegi tervete organisatsioonide ohustamiseni. See võib põhjustada ulatuslikke kahjustusi, andmetega seotud rikkumisi ja tööhäireid.
• Kohandatud rünnakud : küberkurjategijad saavad kohandada RAT-e konkreetsete rünnakuvektorite elluviimiseks, muutes turvatarkvara jaoks nende tuvastamise ja ennetamise keeruliseks. Need rünnakud võivad olla kavandatud sihtima konkreetseid organisatsioone, tööstusharusid või üksikisikuid, suurendades eduvõimalusi.
• Tuvastamisest kõrvalehoidmine : kohandatud RAT-id sisaldavad sageli tuvastamisvastaseid tehnikaid, sealhulgas krüpteerimist, hägustamist ja polümorfismi, mis muudab ohu tuvastamise ja leevendamise turvalahenduste jaoks keeruliseks. See võimaldab ründajatel jääda varjatuks ja vältida avastamist pikema aja jooksul.
• Lunavara juurutamine : RAT-e saab kasutada lunavara kasuliku koorma kohaletoimetamiseks, ohvrite lukustamiseks nende enda süsteemidest või nende andmete krüptimiseks. Küberkurjategijad võivad seejärel nõuda dekrüpteerimisvõtme eest lunaraha, põhjustades finants- ja tegevushäireid.
• Botivõrgu moodustamine : kohandatavaid RAT-e saab kasutada nakatunud seadmete värbamiseks robotvõrku, mida saab seejärel kasutada erinevatel pahatahtlikel eesmärkidel, nagu hajutatud teenusekeelu (DDoS) rünnakud, rämpsposti levitamine või pahavara edasine levitamine.

Kokkuvõttes kujutavad RAT-i ohud, mida saab küberkurjategijate eesmärkidele vastavaks kohandada, mitmekülgset ohtu, kuna need võimaldavad mitmesuguseid ohtlikke tegevusi, mis võivad põhjustada olulist rahalist, tegevust ja maine kahjustamist üksikisikutele, organisatsioonidele ja isegi tervetele sektoritele. Nende ohtude vastu võitlemiseks on olulised tugevad küberjulgeolekumeetmed, sealhulgas regulaarsed värskendused, töötajate koolitus ning täiustatud ohtude tuvastamise ja ennetamise tööriistad.