SuperBear RAT
یک کمپین فیشینگ با تمرکز احتمالی بر سازمانهای جامعه مدنی کره جنوبی، از یک تهدید ناشناخته RAT (تروجان دسترسی از راه دور) به نام SuperBear پرده برداری کرده است. متخصصان امنیتی این تهدید را در یک حادثه مربوط به یک فعال ناشناس شناسایی کرده اند که یک فایل LNK دستکاری شده را در اواخر اوت 2023 دریافت کرده است. آدرس ایمیل فرستنده فریبنده از یکی از اعضای سازمان غیرانتفاعی هدف تقلید شده است.
فهرست مطالب
یک زنجیره حمله چند مرحله ای، بار SuperBear را تحویل می دهد
پس از فعال سازی، فایل LNK یک فرمان PowerShell را برای شروع اجرای یک اسکریپت ویژوال بیسیک راه اندازی می کند. این اسکریپت به نوبه خود، بارهای مرحله بعدی را از یک وب سایت وردپرس قانونی و در عین حال در معرض خطر بازیابی می کند.
این بار شامل دو مؤلفه است: باینری Autoit3.exe که با نام 'solmir.pdb' شناخته می شود و یک اسکریپت AutoIt به نام 'solmir_1.pdb'. اولی به عنوان مکانیزم پرتاب دومی عمل می کند.
اسکریپت AutoIt به نوبه خود از یک تکنیک تزریق فرآیند به نام فرآیند حفره استفاده می کند. این تکنیک شامل درج کد بد در یک فرآیند معلق است. در این مثال، یک نمونه جدید از Explorer.exe ایجاد می کند تا تزریق SuperBear RAT را که قبلاً دیده نشده بود، تسهیل کند.
موش SuperBear اقدامات تهاجمی را روی سیستم های در معرض خطر انجام می دهد
SuperBear RAT سه عملیات حمله اصلی را انجام می دهد: استخراج داده های فرآیند و سیستم، اجرای دستورات پوسته و اجرای یک DLL. به طور پیشفرض، سرور C2 به مشتریان دستور میدهد تا دادههای سیستم را استخراج و پردازش کنند، مشخصهای که اغلب با کمپینهای حمله متمرکز بر تلاشهای شناسایی مرتبط است.
علاوه بر این، عوامل تهدید می توانند RAT را برای اجرای دستورات پوسته یا دانلود یک DLL در معرض خطر بر روی دستگاه آسیب دیده هدایت کنند. در مواردی که DLL به یک نام فایل نیاز دارد، سعی می کند یک نام تصادفی ایجاد کند. اگر ناموفق باشد، نام "SuperBear" پیشفرض است. این تهدید نام خود را از این رفتار به دست آورده است که منعکس کننده رویکرد تولید نام فایل پویا است.
این حمله به طور آزمایشی به یک بازیگر دولت-ملت کره شمالی معروف به کیمسوکی (همچنین به عنوان APT43 یا با نام های مستعار مانند Emerald Sleet، Nickel Kimball، و Velvet Chollima) نسبت داده می شود. این انتساب از شباهت بین بردار حمله اولیه و دستورات PowerShell به کار گرفته شده است.
تهدیدات RAT را می توان برای مطابقت با دستور کار مجرمان سایبری سفارشی کرد
تهدیدات RAT (تروجان دسترسی از راه دور) که میتوان آنها را متناسب با دستور کار مجرمان سایبری سفارشی کرد، به دلیل ماهیت چندمنظوره و سازگاری که دارند، خطرات قابل توجهی را به همراه دارند. در اینجا برخی از خطرات کلیدی مرتبط با چنین تهدیداتی آورده شده است:
- کنترل از راه دور نامحدود : موشهای صحرایی دسترسی کامل و نامحدود به یک سیستم آلوده را برای مجرمان سایبری فراهم میکنند. این سطح از کنترل به آنها اجازه می دهد تا طیف گسترده ای از فعالیت های مضر از جمله سرقت داده ها، نظارت و دستکاری سیستم را بدون اطلاع یا رضایت قربانی انجام دهند.
- سرقت داده ها : مجرمان سایبری می توانند از RAT ها برای جمع آوری اطلاعات حساس مانند داده های شخصی، سوابق مالی، اعتبار ورود به سیستم، مالکیت معنوی و غیره استفاده کنند. داده های جمع آوری شده را می توان در تاریک وب فروخت یا برای سرقت هویت، کلاهبرداری مالی یا جاسوسی شرکتی استفاده کرد.
- جاسوسی و نظارت : موشهای صحرایی قابل تنظیم اغلب برای اهداف جاسوسی استفاده میشوند و مجرمان سایبری را قادر میسازند تا فعالیتهای قربانی را نظارت و ضبط کنند، از صفحهنمایش عکس بگیرند، ضربههای کلید را ضبط کنند و حتی وبکم و میکروفون قربانی را فعال کنند. این می تواند باعث نقض حریم خصوصی و جمع آوری اطلاعات حساس شخصی یا شرکتی شود.
- دسترسی دائمی : موشهای صحرایی برای حفظ دسترسی دائمی به یک سیستم آلوده طراحی شدهاند و به مجرمان سایبری اجازه میدهند تا کنترل دستگاه در معرض خطر را برای مدت طولانی حفظ کنند. این تداوم، شناسایی و حذف بدافزار را برای قربانیان چالش برانگیز می کند و به مهاجمان جای پایی مداوم در سیستم می دهد.
- انتشار و گسترش : RAT های سفارشی شده را می توان برنامه ریزی کرد تا به سیستم های دیگر در یک شبکه گسترش یابد و به طور بالقوه منجر به به خطر افتادن چندین دستگاه و حتی کل سازمان شود. این می تواند منجر به آسیب گسترده، نقض داده ها و اختلالات عملیاتی شود.
- حملات سفارشی شده : مجرمان سایبری میتوانند موشهای صحرایی را برای اجرای بردارهای حمله خاص تنظیم کنند، که تشخیص و جلوگیری از آنها را برای نرمافزار امنیتی دشوار میکند. این حملات می توانند برای هدف قرار دادن سازمان ها، صنایع یا افراد خاص طراحی شوند و شانس موفقیت را افزایش دهند.
- شناسایی فرار : موشهای صحرایی سفارشیشده اغلب از تکنیکهای ضدتشخیص، از جمله رمزگذاری، مبهمسازی و چندشکلی استفاده میکنند که راهحلهای امنیتی برای شناسایی و کاهش تهدید را چالشبرانگیز میکند. این به مهاجمان اجازه می دهد تا پنهان بمانند و برای مدت طولانی از شناسایی جلوگیری کنند.
- استقرار باجافزار : RATها میتوانند به عنوان وسیلهای برای تحویل بارهای باجافزار، قفل کردن قربانیان از سیستمهای خودشان یا رمزگذاری دادههایشان استفاده شوند. مجرمان سایبری می توانند در ازای دریافت کلید رمزگشایی باج بگیرند که باعث اختلالات مالی و عملیاتی می شود.
- تشکیل باتنت : RATهای قابل تنظیم را میتوان برای استخدام دستگاههای آلوده به یک باتنت مورد استفاده قرار داد، که سپس میتوان از آن برای اهداف مخرب مختلف مانند حملات انکار سرویس توزیع شده (DDoS)، توزیع هرزنامه یا انتشار بیشتر بدافزار استفاده کرد.
به طور خلاصه، تهدیدات RAT که میتوانند متناسب با اهداف مجرمان سایبری سفارشی شوند، خطری چندوجهی ایجاد میکنند، زیرا طیف گستردهای از فعالیتهای ناامن را با پتانسیل آسیبهای مالی، عملیاتی و اعتباری قابل توجه به افراد، سازمانها و حتی کل بخشها ممکن میسازند. برای مبارزه با این تهدیدات، اقدامات امنیت سایبری قوی، از جمله به روز رسانی منظم، آموزش کارکنان، و ابزارهای پیشرفته تشخیص و پیشگیری از تهدید، ضروری است.