Supermedvjed ŠTAKOR
Kampanja krađe identiteta s vjerojatnim fokusom na južnokorejske organizacije civilnog društva otkrila je dosad nepoznatu prijetnju RAT (trojanac s daljinskim pristupom) pod nazivom SuperBear. Stručnjaci za sigurnost identificirali su ovu prijetnju u incidentu u kojem je sudjelovao neidentificirani aktivist koji je krajem kolovoza 2023. primio neovlaštenu LNK datoteku. Adresa e-pošte lažnog pošiljatelja oponašala je člana ciljane neprofitne organizacije.
Sadržaj
Višestupanjski lanac napada isporučuje teret SuperBeara
Nakon aktivacije, LNK datoteka pokreće PowerShell naredbu za pokretanje izvršavanja Visual Basic skripte. Ova skripta zauzvrat dohvaća korisničke podatke sljedeće faze s legitimne, ali kompromitirane WordPress web stranice.
Ovo opterećenje sastoji se od dvije komponente: binarne datoteke Autoit3.exe, identificirane kao 'solmir.pdb', i skripte AutoIt poznate kao 'solmir_1.pdb'. Prvi služi kao mehanizam za pokretanje drugog.
AutoIt skripta pak koristi tehniku ubacivanja procesa koja se naziva proces hollowing. Ova tehnika uključuje umetanje lošeg koda u obustavljeni proces. U ovom slučaju, stvara novu instancu Explorer.exe kako bi olakšao ubrizgavanje prethodno neviđenog SuperBear RAT-a.
SuperBear RAT izvodi invazivne radnje na kompromitiranim sustavima
SuperBear RAT izvodi tri primarne operacije napada: eksfiltraciju procesnih i sistemskih podataka, izvršavanje naredbi ljuske i pokretanje DLL-a. Prema zadanim postavkama, C2 poslužitelj upućuje klijente da eksfiltriraju i obrade sistemske podatke, što je karakteristika koja se često povezuje s kampanjama napada usmjerenim na izviđanje.
Uz to, akteri prijetnji mogu usmjeriti RAT da izvrši naredbe ljuske ili preuzme kompromitirani DLL na pogođeno računalo. U slučajevima kada DLL treba naziv datoteke, pokušat će generirati nasumični; ako ne uspije, zadano je ime 'SuperBear'. Ova je prijetnja dobila ime po ovakvom ponašanju, odražavajući pristup dinamičkog generiranja imena datoteke.
Napad se uvjetno pripisuje sjevernokorejskom nacionalnom državnom akteru poznatom kao Kimsuky (koji se također naziva APT43 ili nadimcima kao što su Emerald Sleet, Nickel Kimball i Velvet Chollima). Ova atribucija proizlazi iz sličnosti između početnog vektora napada i korištenih PowerShell naredbi.
Prijetnje RAT-om mogu se prilagoditi tako da odgovaraju programu kibernetičkih kriminalaca
RAT (Remote Access Trojan) prijetnje koje se mogu prilagoditi kako bi odgovarale programu kibernetičkog kriminalca predstavljaju značajne opasnosti zbog svoje svestrane i prilagodljive prirode. Evo nekih ključnih opasnosti povezanih s takvim prijetnjama:
- Neograničeno daljinsko upravljanje : RAT-ovi kibernetičkim kriminalcima omogućuju potpun i neograničen pristup zaraženom sustavu. Ova razina kontrole omogućuje im izvođenje širokog spektra štetnih aktivnosti, uključujući krađu podataka, nadzor i manipulaciju sustavom, a sve bez znanja ili pristanka žrtve.
- Krađa podataka : Cyberkriminalci mogu koristiti RAT-ove za prikupljanje osjetljivih informacija kao što su osobni podaci, financijska evidencija, vjerodajnice za prijavu, intelektualno vlasništvo i više. Prikupljeni podaci mogu se prodavati na Dark Webu ili koristiti za krađu identiteta, financijske prijevare ili korporativnu špijunažu.
- Špijunaža i nadzor : Prilagodljivi RAT-ovi često se koriste u svrhe špijunaže, omogućujući kibernetičkim kriminalcima da nadziru i snimaju aktivnosti žrtve, snimaju snimke zaslona, bilježe pritiske na tipke i čak aktiviraju žrtvinu web kameru i mikrofon. To može dovesti do kršenja privatnosti i prikupljanja osjetljivih osobnih ili korporativnih podataka.
- Stalni pristup : RAT-ovi su dizajnirani za održavanje trajnog pristupa zaraženom sustavu, omogućujući kibernetičkim kriminalcima da zadrže kontrolu nad kompromitiranim uređajem dulje vrijeme. Ova postojanost čini žrtvama izazovnim otkrivanje i uklanjanje zlonamjernog softvera, pružajući napadačima stalno uporište u sustavu.
- Propagacija i širenje : Prilagođeni RAT-ovi mogu se programirati za širenje na druge sustave unutar mreže, što potencijalno dovodi do ugrožavanja više uređaja, pa čak i cijelih organizacija. To može rezultirati velikom štetom, upadom podataka i prekidima rada.
- Prilagođeni napadi : Cyberkriminalci mogu prilagoditi RAT-ove za izvršavanje specifičnih vektora napada, što otežava sigurnosnom softveru njihovo otkrivanje i sprječavanje. Ovi napadi mogu biti dizajnirani tako da ciljaju određene organizacije, industrije ili pojedince, povećavajući šanse za uspjeh.
- Izbjegavanje otkrivanja : Prilagođeni RAT-ovi često uključuju tehnike protiv otkrivanja, uključujući enkripciju, maskiranje i polimorfizam, što sigurnosnim rješenjima predstavlja izazov za prepoznavanje i ublažavanje prijetnje. To omogućuje napadačima da ostanu skriveni i izbjegnu otkrivanje dulje vrijeme.
- Uvođenje ransomwarea : RAT-ovi se mogu koristiti kao sredstvo za isporuku ransomware korisnih sadržaja, zaključavanje žrtava iz njihovih vlastitih sustava ili šifriranje njihovih podataka. Cyberkriminalci tada mogu zahtijevati otkupninu u zamjenu za ključ za dešifriranje, uzrokujući financijske i operativne poremećaje.
- Formiranje botneta : Prilagodljivi RAT-ovi mogu se koristiti za regrutiranje zaraženih uređaja u botnet, koji se zatim mogu iskoristiti za razne zlonamjerne svrhe, kao što su distribuirani napadi uskraćivanja usluge (DDoS), distribucija neželjene pošte ili daljnje širenje zlonamjernog softvera.
Ukratko, RAT prijetnje koje se mogu prilagoditi ciljevima kibernetičkih kriminalaca predstavljaju višestruku opasnost jer omogućuju širok raspon nesigurnih aktivnosti s potencijalom značajne financijske, operativne i reputacijske štete za pojedince, organizacije, pa čak i cijele sektore. Za borbu protiv ovih prijetnji ključne su snažne mjere kibernetičke sigurnosti, uključujući redovita ažuriranja, obuku zaposlenika i napredne alate za otkrivanje i prevenciju prijetnji.
