Sconti per licenze multiple
Threat Database Malware RATTO SuperBear

RATTO SuperBear

Entro Mezo nel Malware, Advanced Persistent Threat (APT), Remote Administration Tools
Traduci in:
Italiano

Una campagna di phishing probabilmente focalizzata sulle organizzazioni della società civile sudcoreana ha svelato una minaccia RAT (Remote Access Trojan) precedentemente sconosciuta denominata SuperBear. Gli specialisti della sicurezza hanno identificato questa minaccia in un incidente che ha coinvolto un attivista non identificato che ha ricevuto un file LNK manomesso verso la fine di agosto 2023. L'indirizzo e-mail del mittente ingannevole imitava quello di un membro dell'organizzazione no-profit presa di mira.

Una catena di attacco a più fasi fornisce il carico utile del SuperBear

Al momento dell'attivazione, il file LNK attiva un comando PowerShell per avviare l'esecuzione di uno script Visual Basic. Questo script, a sua volta, recupera i payload della fase successiva da un sito Web WordPress legittimo ma compromesso.

Questo payload comprende due componenti: il file binario Autoit3.exe, identificato come "solmir.pdb" e uno script AutoIt noto come "solmir_1.pdb". Il primo funge da meccanismo di lancio per il secondo.

Lo script AutoIt, a sua volta, utilizza una tecnica di iniezione del processo chiamata svuotamento del processo. Questa tecnica prevede l'inserimento di codice errato in un processo sospeso. In questo caso, crea una nuova istanza di Explorer.exe per facilitare l'iniezione del SuperBear RAT mai visto prima.

Il SuperBear RAT esegue azioni invasive su sistemi compromessi

Il SuperBear RAT esegue tre operazioni di attacco principali: esfiltrazione di dati di processo e di sistema, esecuzione di comandi shell ed esecuzione di una DLL. Per impostazione predefinita, il server C2 istruisce i client a esfiltrare ed elaborare i dati di sistema, una caratteristica spesso associata alle campagne di attacco incentrate sugli sforzi di ricognizione.

Inoltre, gli autori delle minacce possono ordinare al RAT di eseguire comandi shell o scaricare una DLL compromessa sulla macchina interessata. Nei casi in cui la DLL necessita di un nome file, tenterà di generarne uno casuale; in caso di esito negativo, viene utilizzato automaticamente il nome "SuperBear". Questa minaccia ha preso il nome da questo comportamento, riflettendo il suo approccio dinamico alla generazione di nomi di file.

L'attacco è provvisoriamente attribuito a un attore-stato nordcoreano noto come Kimsuky (noto anche come APT43 o con alias come Emerald Sleet, Nickel Kimball e Velvet Chollima). Questa attribuzione deriva dalla somiglianza tra il vettore di attacco iniziale e i comandi PowerShell utilizzati.

Le minacce RAT potrebbero essere personalizzate per adattarsi all'agenda dei criminali informatici

Le minacce RAT (Remote Access Trojan) che possono essere personalizzate per adattarsi all'agenda di un criminale informatico pongono pericoli significativi a causa della loro natura versatile e adattabile. Ecco alcuni dei principali pericoli associati a tali minacce:

  • Controllo remoto illimitato : i RAT forniscono ai criminali informatici un accesso completo e illimitato a un sistema infetto. Questo livello di controllo consente loro di svolgere un'ampia gamma di attività dannose, tra cui il furto di dati, la sorveglianza e la manipolazione del sistema, il tutto all'insaputa o senza il consenso della vittima.
  • Furto di dati : i criminali informatici possono utilizzare i RAT per raccogliere informazioni sensibili come dati personali, documenti finanziari, credenziali di accesso, proprietà intellettuale e altro ancora. I dati raccolti possono essere venduti sul Dark Web o utilizzati per furti di identità, frodi finanziarie o spionaggio aziendale.
  • Spionaggio e sorveglianza : i RAT personalizzabili vengono spesso utilizzati per scopi di spionaggio, consentendo ai criminali informatici di monitorare e registrare le attività di una vittima, acquisire screenshot, registrare sequenze di tasti e persino attivare la webcam e il microfono della vittima. Ciò può generare violazioni della privacy e raccolta di informazioni personali o aziendali sensibili.
  • Accesso persistente : i RAT sono progettati per mantenere l'accesso persistente a un sistema infetto, consentendo ai criminali informatici di mantenere il controllo sul dispositivo compromesso per un periodo prolungato. Questa persistenza rende difficile per le vittime rilevare e rimuovere il malware, fornendo agli aggressori un punto d’appoggio costante nel sistema.
  • Propagazione e diffusione : i RAT personalizzati possono essere programmati per diffondersi ad altri sistemi all'interno di una rete, portando potenzialmente alla compromissione di più dispositivi e persino di intere organizzazioni. Ciò può provocare danni diffusi, violazioni dei dati e interruzioni operative.
  • Attacchi personalizzati : i criminali informatici possono personalizzare i RAT per eseguire vettori di attacco specifici, rendendo difficile per i software di sicurezza rilevarli e prevenirli. Questi attacchi possono essere progettati per colpire organizzazioni, settori o individui specifici, aumentando le possibilità di successo.
  • Eludere il rilevamento : i RAT personalizzati spesso incorporano tecniche anti-rilevamento, tra cui crittografia, offuscamento e polimorfismo, rendendo difficile per le soluzioni di sicurezza identificare e mitigare la minaccia. Ciò consente agli aggressori di rimanere nascosti ed evitare di essere scoperti per periodi prolungati.
  • Distribuzione di ransomware : i RAT possono essere utilizzati come mezzo per fornire payload di ransomware, bloccando le vittime fuori dai propri sistemi o crittografando i loro dati. I criminali informatici possono quindi richiedere un riscatto in cambio della chiave di decrittazione, causando interruzioni finanziarie e operative.
  • Formazione di botnet : i RAT personalizzabili possono essere utilizzati per reclutare dispositivi infetti in una botnet, che può poi essere sfruttata per vari scopi dannosi, come attacchi DDoS (Distributed Denial of Service), distribuzione di spam o ulteriore propagazione di malware.

In sintesi, le minacce RAT che possono essere personalizzate per soddisfare gli obiettivi dei criminali informatici rappresentano un pericolo dalle molteplici sfaccettature, poiché consentono un’ampia gamma di attività non sicure con il potenziale di significativi danni finanziari, operativi e reputazionali per individui, organizzazioni e persino interi settori. Per combattere queste minacce, sono essenziali solide misure di sicurezza informatica, inclusi aggiornamenti regolari, formazione dei dipendenti e strumenti avanzati di rilevamento e prevenzione delle minacce.

Tendenza

I più visti

Caricamento in corso...