הנחות רישוי רב
Threat Database Malware SuperBear RAT

SuperBear RAT

עד Mezo ב-Malware, Advanced Persistent Threat (APT), Remote Administration Tools
לתרגם ל:
עברית

קמפיין דיוג עם התמקדות סביר בארגוני חברה אזרחית בדרום קוריאה חשף איום RAT (גישה מרחוק טרויאני) לא ידוע בעבר בשם SuperBear. מומחי אבטחה זיהו את האיום הזה בתקרית שבה היה מעורב פעיל לא מזוהה שקיבל קובץ LNK מבולבל לקראת סוף אוגוסט 2023. כתובת הדואר האלקטרוני של השולח המטעה חיקה חבר בארגון ללא מטרות רווח.

שרשרת התקפה רב-שלבית מספקת את מטען ה-SuperBear

עם ההפעלה, קובץ LNK מפעיל פקודת PowerShell כדי ליזום ביצוע של סקריפט Visual Basic. סקריפט זה, בתורו, מאחזר את עומסי השלבים הבאים מאתר וורדפרס לגיטימי אך בסיכון.

מטען זה מורכב משני רכיבים: הקובץ הבינארי Autoit3.exe, המזוהה כ'solmir.pdb', וסקריפט AutoIt המכונה 'solmir_1.pdb'. הראשון משמש כמנגנון ההשקה של האחרון.

התסריט AutoIt, בתורו, משתמש בטכניקת הזרקת תהליך הנקראת תהליך חלול. טכניקה זו כוללת הכנסת קוד שגוי לתהליך מושעה. במקרה זה, הוא יוצר מופע חדש של Explorer.exe כדי להקל על הזרקת ה-SuperBear RAT שלא נראה בעבר.

ה-SuperBear RAT מבצע פעולות פולשניות במערכות שנפגעו

ה-SuperBear RAT מבצע שלוש פעולות התקפה עיקריות: סילוק נתוני תהליך ומערכת, ביצוע פקודות מעטפת והפעלת DLL. כברירת מחדל, שרת C2 מורה ללקוחות להסתנן ולעבד נתוני מערכת, מאפיין הקשור לעתים קרובות בקמפיינים של תקיפה המתמקדים במאמצי סיור.

בנוסף, גורמי איומים יכולים לכוון את ה-RAT לבצע פקודות מעטפת או להוריד DLL שנפרץ למחשב המושפע. במקרים שבהם ה-DLL צריך שם קובץ, הוא ינסה ליצור שם אקראי; אם לא מצליח, ברירת המחדל היא השם 'SuperBear'. האיום הזה קיבל את שמו מהתנהגות זו, המשקף את הגישה הדינמית שלו ליצירת שמות קבצים.

המתקפה מיוחסת באופן טנטטיבי לשחקן מדינת לאום צפון קוריאני המכונה Kimsuky (המכונה גם APT43 או בכינויים כמו אמרלד סליט, ניקל קימבל ו-Velvet Chollima). ייחוס זה נלקח מהדמיון בין וקטור ההתקפה הראשוני לפקודות PowerShell המופעלות.

ניתן להתאים את איומי RAT כך שיתאימו לסדר היום של פושעי סייבר

איומי RAT (Remote Access Trojan) הניתנים להתאמה אישית כדי להתאים לסדר היום של פושע רשת מהווים סכנות משמעותיות בשל אופיים הרב-תכליתי והסתגלן. הנה כמה סכנות מרכזיות הקשורות לאיומים כאלה:

  • שליטה מרחוק בלתי מוגבלת : RATs מספקים לפושעי סייבר גישה מלאה ובלתי מוגבלת למערכת נגועה. רמת שליטה זו מאפשרת להם לבצע מגוון רחב של פעילויות מזיקות, לרבות גניבת נתונים, מעקבים ומניפולציות של המערכת, והכל ללא ידיעתו או הסכמתו של הקורבן.

  • גניבת נתונים : פושעי סייבר יכולים להשתמש ב-RATs כדי לאסוף מידע רגיש כגון נתונים אישיים, רשומות פיננסיות, אישורי כניסה, קניין רוחני ועוד. ניתן למכור את הנתונים שנאספו ברשת האפלה או להשתמש בהם לגניבת זהות, הונאה פיננסית או ריגול תאגידי.

  • ריגול ומעקב: RAT הניתנים להתאמה אישית משמשים לעתים קרובות למטרות ריגול, המאפשרות לפושעי סייבר לנטר ולהקליט את הפעילויות של הקורבן, לצלם צילומי מסך, להקליט הקשות ואפילו להפעיל את מצלמת האינטרנט והמיקרופון של הקורבן. זה יכול ליצור הפרות פרטיות ואיסוף מידע אישי או תאגידי רגיש.

  • גישה מתמשכת : RATs מתוכננים לשמור על גישה מתמשכת למערכת נגועה, ומאפשרת לפושעי סייבר לשמור על שליטה על המכשיר שנפרץ לתקופה ממושכת. התמדה זו מאתגרת את הקורבנות לזהות ולהסיר את התוכנה הזדונית, ומספקת לתוקפים דריסת רגל מתמשכת במערכת.

  • התפשטות והתפשטות : ניתן לתכנת RAT מותאמים אישית להתפשטות למערכות אחרות בתוך רשת, מה שעלול להוביל לפשרה של התקנים מרובים ואפילו ארגונים שלמים. זה יכול לגרום לנזק נרחב, פרצות נתונים ושיבושים תפעוליים.

  • התקפות מותאמות אישית : פושעי סייבר יכולים להתאים RATs לביצוע וקטורי התקפה ספציפיים, מה שמקשה על תוכנות אבטחה לזהות ולמנוע אותם. התקפות אלו יכולות להיות מיועדות לכוון ארגונים, תעשיות או אנשים ספציפיים, ולהגדיל את סיכויי ההצלחה.

  • זיהוי התחמקות : RAT מותאמים אישית משלבים לעתים קרובות טכניקות נגד זיהוי, כולל הצפנה, ערפול ופולימורפיזם, מה שהופך את זה למאתגר עבור פתרונות אבטחה לזהות ולהפחית את האיום. זה מאפשר לתוקפים להישאר מוסתרים ולהימנע מזיהוי לתקופות ממושכות.

  • פריסת תוכנות כופר : ניתן להשתמש ב-RAT כאמצעי להעברת עומסי כופר, נעילת קורבנות מחוץ למערכות שלהם או הצפנת הנתונים שלהם. לאחר מכן, פושעי סייבר יכולים לדרוש כופר בתמורה למפתח הפענוח, ולגרום לשיבושים פיננסיים ותפעוליים.

  • היווצרות רשת בוט : ניתן להשתמש ב-RAT הניתנים להתאמה אישית כדי לגייס מכשירים נגועים ל-botnet, אשר לאחר מכן ניתן למנף אותם למטרות זדוניות שונות, כגון התקפות מניעת שירות מבוזרות (DDoS), הפצת דואר זבל או הפצה נוספת של תוכנות זדוניות.

לסיכום, איומי RAT הניתנים להתאמה אישית למטרותיהם של פושעי סייבר מהווים סכנה רב-צדדית, שכן הם מאפשרים מגוון רחב של פעילויות לא בטוחות עם פוטנציאל לנזק כספי, תפעולי ומוניטין משמעותי ליחידים, לארגונים ואפילו למגזרים שלמים. כדי להילחם באיומים אלו, חיוניים אמצעי אבטחת סייבר חזקים, כולל עדכונים שוטפים, הדרכת עובדים וכלים מתקדמים לזיהוי ומניעה של איומים.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

Phishing, Spam
15,882
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...