SuperBear RAT

Valószínűleg a dél-koreai civil társadalmi szervezetekre összpontosító adathalász kampány egy korábban ismeretlen RAT (Remote Access Trojan) fenyegetést mutatott be, a SuperBear nevet. A biztonsági szakértők ezt a fenyegetést egy azonosítatlan aktivistát érintő incidensben azonosították, aki 2023 augusztusának vége felé egy manipulált LNK-fájlt kapott. A megtévesztő feladó e-mail-címe a megcélzott nonprofit szervezet egyik tagját utánozta.

Egy többlépcsős támadási lánc biztosítja a SuperBear teherbírását

Aktiváláskor az LNK-fájl egy PowerShell-parancsot indít el, amely elindítja egy Visual Basic-szkript végrehajtását. Ez a szkript pedig lekéri a következő szakasz hasznos terheit egy legitim, de feltört WordPress webhelyről.

Ez a hasznos adattartalom két összetevőből áll: az Autoit3.exe binárisból, amelyet „solmir.pdb” néven azonosítanak, és egy „solmir_1.pdb” néven ismert AutoIt szkriptet. Az előbbi az utóbbi indító mechanizmusaként szolgál.

Az AutoIt szkript pedig egy folyamatbefecskendezési technikát alkalmaz, az úgynevezett folyamatüregesedést. Ez a technika magában foglalja a rossz kód beszúrását egy felfüggesztett folyamatba. Ebben az esetben létrehozza az Explorer.exe új példányát, hogy megkönnyítse a korábban nem látott SuperBear RAT befecskendezését.

A SuperBear RAT invazív műveleteket hajt végre kompromittált rendszereken

A SuperBear RAT három elsődleges támadási műveletet hajt végre: folyamat- és rendszeradatok kiszűrése, shell-parancsok végrehajtása és DLL futtatása. Alapértelmezés szerint a C2 szerver a rendszeradatok kiszűrésére és feldolgozására utasítja az ügyfeleket, ami gyakran a felderítési erőfeszítésekre összpontosító támadási kampányokhoz kapcsolódik.

Ezenkívül a fenyegetés szereplői irányíthatják a RAT-ot, hogy héjparancsokat hajtson végre, vagy töltsön le egy feltört DLL-t az érintett gépre. Azokban az esetekben, amikor a DLL-nek fájlnévre van szüksége, megpróbál egy véletlenszerű nevet generálni; ha sikertelen, akkor alapértelmezés szerint a „SuperBear” név lesz. Ez a fenyegetés erről a viselkedésről kapta a nevét, ami a dinamikus fájlnévgenerálási megközelítést tükrözi.

A támadást feltételesen egy észak-koreai nemzetállami szereplőnek tulajdonítják, akit Kimsuky néven ismernek (más néven APT43 vagy olyan álnevek, mint Emerald Sleet, Nickel Kimball és Velvet Chollima). Ez a hozzárendelés a kezdeti támadási vektor és az alkalmazott PowerShell-parancsok hasonlóságából származik.

A RAT fenyegetések testreszabhatók, hogy illeszkedjenek a kiberbűnözők napirendjéhez

A kiberbűnözők napirendjéhez igazítható RAT (Remote Access Trojan) fenyegetések sokoldalú és alkalmazkodó jellegük miatt jelentős veszélyeket jelentenek. Íme néhány, az ilyen fenyegetésekkel kapcsolatos legfontosabb veszély:

• Korlátlan távirányító : A RAT-ok teljes és korlátlan hozzáférést biztosítanak a kiberbűnözők számára a fertőzött rendszerhez. Az ellenőrzés ezen szintje lehetővé teszi számukra, hogy számos káros tevékenységet hajtsanak végre, beleértve az adatlopást, a megfigyelést és a rendszermanipulációt, mindezt az áldozat tudta vagy beleegyezése nélkül.
• Adatlopás : A kiberbűnözők a RAT-ok segítségével érzékeny információkat gyűjthetnek, például személyes adatokat, pénzügyi nyilvántartásokat, bejelentkezési adatokat, szellemi tulajdont és még sok mást. Az összegyűjtött adatok eladhatók a sötét weben, vagy felhasználhatók személyazonosság-lopásra, pénzügyi csalásra vagy vállalati kémkedésre.
• Kémkedés és megfigyelés : A testreszabható RAT-okat gyakran kémkedési célokra használják, lehetővé téve a kiberbűnözők számára az áldozat tevékenységeinek megfigyelését és rögzítését, képernyőképek rögzítését, billentyűleütések rögzítését, és még az áldozat webkamerájának és mikrofonjának aktiválását is. Ez az adatvédelem megsértését és érzékeny személyes vagy vállalati adatok gyűjtését eredményezheti.
• Állandó hozzáférés : A RAT-okat úgy tervezték, hogy fenntartsák a fertőzött rendszerhez való folyamatos hozzáférést, lehetővé téve a kiberbűnözők számára, hogy hosszabb ideig ellenőrizzék a feltört eszközt. Ez a kitartás megnehezíti az áldozatok számára a rosszindulatú programok észlelését és eltávolítását, ami a támadók számára folyamatos megtámasztást biztosít a rendszerben.
• Terjedés és terjesztés : A testreszabott RAT-ok programozhatók úgy, hogy a hálózaton belül más rendszerekre is elterjedjenek, ami több eszköz, sőt akár egész szervezet kompromittálásához is vezethet. Ez kiterjedt károkat, adatszivárgást és működési zavarokat okozhat.
• Testreszabott támadások : A kiberbűnözők testreszabhatják a RAT-okat úgy, hogy bizonyos támadási vektorokat hajtsanak végre, ami megnehezíti a biztonsági szoftverek észlelését és megakadályozását. Ezeket a támadásokat úgy lehet megtervezni, hogy meghatározott szervezeteket, iparágakat vagy személyeket célozzanak meg, növelve a siker esélyét.
• Az észlelés elkerülése : A testreszabott RAT-ok gyakran alkalmaznak észlelési technikákat, beleértve a titkosítást, a homályosítást és a polimorfizmust, ami kihívást jelent a fenyegetés azonosítására és csökkentésére irányuló biztonsági megoldások számára. Ez lehetővé teszi a támadók számára, hogy rejtve maradjanak, és hosszabb ideig elkerüljék az észlelést.
• Ransomware telepítése : A RAT-ok eszközként használhatók zsarolóprogramok rakományának szállítására, az áldozatok saját rendszerükből való kizárására vagy adataik titkosítására. A kiberbűnözők ezután váltságdíjat követelhetnek a visszafejtési kulcsért cserébe, ami pénzügyi és működési fennakadásokat okozhat.
• Botnet kialakítása : A testreszabható RAT-ok segítségével fertőzött eszközöket toborozhatnak egy botnetbe, amelyeket aztán különféle rosszindulatú célokra, például elosztott szolgáltatásmegtagadási (DDoS) támadásokra, kéretlen levelek terjesztésére vagy rosszindulatú programok továbbterjesztésére lehet felhasználni.

Összefoglalva: a kiberbűnözők céljainak megfelelően testreszabható RAT-fenyegetések sokrétű veszélyt jelentenek, mivel a nem biztonságos tevékenységek széles skáláját teszik lehetővé, amelyek jelentős anyagi, működési és hírnév-károsodást okozhatnak egyéneknek, szervezeteknek, sőt egész szektoroknak. E fenyegetések leküzdéséhez elengedhetetlenek a robusztus kiberbiztonsági intézkedések, beleértve a rendszeres frissítéseket, az alkalmazottak képzését, valamint a fejlett fenyegetésészlelő és -megelőzési eszközöket.