تخفیف چند مجوز
Threat Database Malware SuperBear RAT

SuperBear RAT

تا Mezo در Malware, Advanced Persistent Threat (APT), Remote Administration Tools
ترجمه به:
فارسی

یک کمپین فیشینگ با تمرکز احتمالی بر سازمان‌های جامعه مدنی کره جنوبی، از یک تهدید ناشناخته RAT (تروجان دسترسی از راه دور) به نام SuperBear پرده برداری کرده است. متخصصان امنیتی این تهدید را در یک حادثه مربوط به یک فعال ناشناس شناسایی کرده اند که یک فایل LNK دستکاری شده را در اواخر اوت 2023 دریافت کرده است. آدرس ایمیل فرستنده فریبنده از یکی از اعضای سازمان غیرانتفاعی هدف تقلید شده است.

یک زنجیره حمله چند مرحله ای، بار SuperBear را تحویل می دهد

پس از فعال سازی، فایل LNK یک فرمان PowerShell را برای شروع اجرای یک اسکریپت ویژوال بیسیک راه اندازی می کند. این اسکریپت به نوبه خود، بارهای مرحله بعدی را از یک وب سایت وردپرس قانونی و در عین حال در معرض خطر بازیابی می کند.

این بار شامل دو مؤلفه است: باینری Autoit3.exe که با نام 'solmir.pdb' شناخته می شود و یک اسکریپت AutoIt به نام 'solmir_1.pdb'. اولی به عنوان مکانیزم پرتاب دومی عمل می کند.

اسکریپت AutoIt به نوبه خود از یک تکنیک تزریق فرآیند به نام فرآیند حفره استفاده می کند. این تکنیک شامل درج کد بد در یک فرآیند معلق است. در این مثال، یک نمونه جدید از Explorer.exe ایجاد می کند تا تزریق SuperBear RAT را که قبلاً دیده نشده بود، تسهیل کند.

موش SuperBear اقدامات تهاجمی را روی سیستم های در معرض خطر انجام می دهد

SuperBear RAT سه عملیات حمله اصلی را انجام می دهد: استخراج داده های فرآیند و سیستم، اجرای دستورات پوسته و اجرای یک DLL. به طور پیش‌فرض، سرور C2 به مشتریان دستور می‌دهد تا داده‌های سیستم را استخراج و پردازش کنند، مشخصه‌ای که اغلب با کمپین‌های حمله متمرکز بر تلاش‌های شناسایی مرتبط است.

علاوه بر این، عوامل تهدید می توانند RAT را برای اجرای دستورات پوسته یا دانلود یک DLL در معرض خطر بر روی دستگاه آسیب دیده هدایت کنند. در مواردی که DLL به یک نام فایل نیاز دارد، سعی می کند یک نام تصادفی ایجاد کند. اگر ناموفق باشد، نام "SuperBear" پیش‌فرض است. این تهدید نام خود را از این رفتار به دست آورده است که منعکس کننده رویکرد تولید نام فایل پویا است.

این حمله به طور آزمایشی به یک بازیگر دولت-ملت کره شمالی معروف به کیمسوکی (همچنین به عنوان APT43 یا با نام های مستعار مانند Emerald Sleet، Nickel Kimball، و Velvet Chollima) نسبت داده می شود. این انتساب از شباهت بین بردار حمله اولیه و دستورات PowerShell به کار گرفته شده است.

تهدیدات RAT را می توان برای مطابقت با دستور کار مجرمان سایبری سفارشی کرد

تهدیدات RAT (تروجان دسترسی از راه دور) که می‌توان آن‌ها را متناسب با دستور کار مجرمان سایبری سفارشی کرد، به دلیل ماهیت چندمنظوره و سازگاری که دارند، خطرات قابل توجهی را به همراه دارند. در اینجا برخی از خطرات کلیدی مرتبط با چنین تهدیداتی آورده شده است:

  • کنترل از راه دور نامحدود : موش‌های صحرایی دسترسی کامل و نامحدود به یک سیستم آلوده را برای مجرمان سایبری فراهم می‌کنند. این سطح از کنترل به آنها اجازه می دهد تا طیف گسترده ای از فعالیت های مضر از جمله سرقت داده ها، نظارت و دستکاری سیستم را بدون اطلاع یا رضایت قربانی انجام دهند.

  • سرقت داده ها : مجرمان سایبری می توانند از RAT ها برای جمع آوری اطلاعات حساس مانند داده های شخصی، سوابق مالی، اعتبار ورود به سیستم، مالکیت معنوی و غیره استفاده کنند. داده های جمع آوری شده را می توان در تاریک وب فروخت یا برای سرقت هویت، کلاهبرداری مالی یا جاسوسی شرکتی استفاده کرد.

  • جاسوسی و نظارت : موش‌های صحرایی قابل تنظیم اغلب برای اهداف جاسوسی استفاده می‌شوند و مجرمان سایبری را قادر می‌سازند تا فعالیت‌های قربانی را نظارت و ضبط کنند، از صفحه‌نمایش عکس بگیرند، ضربه‌های کلید را ضبط کنند و حتی وب‌کم و میکروفون قربانی را فعال کنند. این می تواند باعث نقض حریم خصوصی و جمع آوری اطلاعات حساس شخصی یا شرکتی شود.

  • دسترسی دائمی : موش‌های صحرایی برای حفظ دسترسی دائمی به یک سیستم آلوده طراحی شده‌اند و به مجرمان سایبری اجازه می‌دهند تا کنترل دستگاه در معرض خطر را برای مدت طولانی حفظ کنند. این تداوم، شناسایی و حذف بدافزار را برای قربانیان چالش برانگیز می کند و به مهاجمان جای پایی مداوم در سیستم می دهد.

  • انتشار و گسترش : RAT های سفارشی شده را می توان برنامه ریزی کرد تا به سیستم های دیگر در یک شبکه گسترش یابد و به طور بالقوه منجر به به خطر افتادن چندین دستگاه و حتی کل سازمان شود. این می تواند منجر به آسیب گسترده، نقض داده ها و اختلالات عملیاتی شود.

  • حملات سفارشی شده : مجرمان سایبری می‌توانند موش‌های صحرایی را برای اجرای بردارهای حمله خاص تنظیم کنند، که تشخیص و جلوگیری از آن‌ها را برای نرم‌افزار امنیتی دشوار می‌کند. این حملات می توانند برای هدف قرار دادن سازمان ها، صنایع یا افراد خاص طراحی شوند و شانس موفقیت را افزایش دهند.

  • شناسایی فرار : موش‌های صحرایی سفارشی‌شده اغلب از تکنیک‌های ضدتشخیص، از جمله رمزگذاری، مبهم‌سازی و چندشکلی استفاده می‌کنند که راه‌حل‌های امنیتی برای شناسایی و کاهش تهدید را چالش‌برانگیز می‌کند. این به مهاجمان اجازه می دهد تا پنهان بمانند و برای مدت طولانی از شناسایی جلوگیری کنند.

  • استقرار باج‌افزار : RATها می‌توانند به عنوان وسیله‌ای برای تحویل بارهای باج‌افزار، قفل کردن قربانیان از سیستم‌های خودشان یا رمزگذاری داده‌هایشان استفاده شوند. مجرمان سایبری می توانند در ازای دریافت کلید رمزگشایی باج بگیرند که باعث اختلالات مالی و عملیاتی می شود.

  • تشکیل بات‌نت : RAT‌های قابل تنظیم را می‌توان برای استخدام دستگاه‌های آلوده به یک بات‌نت مورد استفاده قرار داد، که سپس می‌توان از آن برای اهداف مخرب مختلف مانند حملات انکار سرویس توزیع شده (DDoS)، توزیع هرزنامه یا انتشار بیشتر بدافزار استفاده کرد.

به طور خلاصه، تهدیدات RAT که می‌توانند متناسب با اهداف مجرمان سایبری سفارشی شوند، خطری چندوجهی ایجاد می‌کنند، زیرا طیف گسترده‌ای از فعالیت‌های ناامن را با پتانسیل آسیب‌های مالی، عملیاتی و اعتباری قابل توجه به افراد، سازمان‌ها و حتی کل بخش‌ها ممکن می‌سازند. برای مبارزه با این تهدیدات، اقدامات امنیت سایبری قوی، از جمله به روز رسانی منظم، آموزش کارکنان، و ابزارهای پیشرفته تشخیص و پیشگیری از تهدید، ضروری است.

پرطرفدار

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
15,882
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...