슈퍼베어 쥐

한국 시민 사회 단체를 대상으로 한 피싱 캠페인에서 SuperBear라는 이름의 이전에 알려지지 않은 RAT(원격 액세스 트로이 목마) 위협이 공개되었습니다. 보안 전문가는 2023년 8월 말에 변조된 LNK 파일을 받은 신원 미상의 활동가와 관련된 사건에서 이러한 위협을 확인했습니다. 사기성 발신자의 이메일 주소는 표적 비영리 조직의 구성원을 모방했습니다.

다단계 공격 체인으로 SuperBear 페이로드 제공

활성화되면 LNK 파일은 PowerShell 명령을 트리거하여 Visual Basic 스크립트 실행을 시작합니다. 그러면 이 스크립트는 합법적이지만 손상된 WordPress 웹 사이트에서 후속 단계 페이로드를 검색합니다.

이 페이로드는 'solmir.pdb'로 식별되는 Autoit3.exe 바이너리와 'solmir_1.pdb'로 알려진 AutoIt 스크립트의 두 가지 구성 요소로 구성됩니다. 전자는 후자의 시작 메커니즘 역할을 합니다.

AutoIt 스크립트는 프로세스 비우기라는 프로세스 주입 기술을 사용합니다. 이 기술에는 일시 중지된 프로세스에 잘못된 코드를 삽입하는 작업이 포함됩니다. 이 경우 이전에 볼 수 없었던 SuperBear RAT의 주입을 용이하게 하기 위해 Explorer.exe의 새 인스턴스를 생성합니다.

SuperBear RAT는 손상된 시스템에 침입적인 작업을 수행합니다.

SuperBear RAT는 프로세스 및 시스템 데이터 유출, 셸 명령 실행, DLL 실행이라는 세 가지 주요 공격 작업을 수행합니다. 기본적으로 C2 서버는 클라이언트에게 시스템 데이터를 추출하고 처리하도록 지시합니다. 이는 종종 정찰 활동에 초점을 맞춘 공격 캠페인과 관련된 특징입니다.

또한 위협 행위자는 RAT에게 셸 명령을 실행하거나 손상된 DLL을 영향을 받는 시스템에 다운로드하도록 지시할 수 있습니다. DLL에 파일 이름이 필요한 경우 임의의 이름을 생성하려고 시도합니다. 실패하면 기본적으로 'SuperBear'라는 이름이 사용됩니다. 이 위협은 동적 파일 이름 생성 접근 방식을 반영하여 이 동작에서 이름을 얻었습니다.

이 공격은 잠정적으로 김수키(APT43 또는 Emerald Sleet, Nickel Kimball, Velvet Chollima와 같은 별칭)로 알려진 북한 국가 행위자에 의한 것으로 추정됩니다. 이 속성은 초기 공격 벡터와 사용된 PowerShell 명령 간의 유사성에서 도출됩니다.

RAT 위협은 사이버범죄 의제에 맞게 맞춤화될 수 있습니다.

사이버 범죄자의 목표에 맞게 사용자 정의할 수 있는 RAT(원격 액세스 트로이 목마) 위협은 다재다능하고 적응력이 뛰어나다는 특성으로 인해 심각한 위험을 초래합니다. 이러한 위협과 관련된 몇 가지 주요 위험은 다음과 같습니다.

• 무제한 원격 제어 : RAT는 사이버 범죄자에게 감염된 시스템에 대한 완전하고 제한 없는 액세스를 제공합니다. 이러한 수준의 제어를 통해 피해자가 알지 못하거나 동의하지 않고도 데이터 도난, 감시, 시스템 조작을 포함한 광범위한 유해 활동을 수행할 수 있습니다.
• 데이터 도난 : 사이버 범죄자는 RAT를 사용하여 개인 데이터, 금융 기록, 로그인 자격 증명, 지적 재산 등과 같은 민감한 정보를 수집할 수 있습니다. 수집된 데이터는 다크 웹에서 판매되거나 신원 도용, 금융 사기 또는 기업 스파이 활동에 사용될 수 있습니다.
• 간첩 및 감시 : 사용자 정의 가능한 RAT는 간첩 목적으로 자주 사용되며, 이를 통해 사이버 범죄자는 피해자의 활동을 모니터링 및 기록하고, 스크린샷을 캡처하고, 키 입력을 기록하고, 피해자의 웹캠과 마이크를 활성화할 수도 있습니다. 이로 인해 개인정보 침해가 발생하고 민감한 개인 또는 기업 정보가 수집될 수 있습니다.
• 영구 액세스 : RAT는 감염된 시스템에 대한 지속적인 액세스를 유지하도록 설계되어 사이버 범죄자가 손상된 장치에 대한 제어를 장기간 유지할 수 있습니다. 이러한 지속성으로 인해 피해자가 악성 코드를 탐지하고 제거하기가 어려워지고 공격자에게 시스템에서 지속적인 발판을 제공하게 됩니다.
• 전파 및 확산 : 맞춤형 RAT는 네트워크 내의 다른 시스템으로 확산되도록 프로그래밍할 수 있으며, 이로 인해 잠재적으로 여러 장치는 물론 조직 전체가 손상될 수도 있습니다. 이로 인해 광범위한 피해, 데이터 침해, 운영 중단이 발생할 수 있습니다.
• 맞춤형 공격 : 사이버 범죄자는 특정 공격 벡터를 실행하도록 RAT를 맞춤화할 수 있으므로 보안 소프트웨어가 이를 탐지하고 예방하기 어렵게 만듭니다. 이러한 공격은 특정 조직, 산업 또는 개인을 표적으로 삼아 성공 가능성을 높이도록 설계될 수 있습니다.
• 탐지 회피 : 맞춤형 RAT에는 암호화, 난독화, 다형성 등 탐지 방지 기술이 통합되어 보안 솔루션이 위협을 식별하고 완화하는 것을 어렵게 만드는 경우가 많습니다. 이를 통해 공격자는 숨어 있는 상태를 유지하고 장기간 탐지를 피할 수 있습니다.
• 랜섬웨어 배포 : RAT는 랜섬웨어 페이로드를 전달하고 피해자를 자신의 시스템에 접근하지 못하도록 잠그거나 데이터를 암호화하는 수단으로 사용될 수 있습니다. 그러면 사이버 범죄자는 암호 해독 키를 대가로 몸값을 요구하여 재정적, 운영적 혼란을 초래할 수 있습니다.
• 봇넷 형성 : 사용자 정의 가능한 RAT를 사용하여 감염된 장치를 봇넷에 모집할 수 있으며, 이는 DDoS(분산 서비스 거부) 공격, 스팸 배포 또는 악성 코드 추가 전파와 같은 다양한 악의적 목적으로 활용될 수 있습니다.

요약하면, 사이버 범죄자의 목적에 맞게 맞춤화할 수 있는 RAT 위협은 개인, 조직, 심지어 전체 부문에 심각한 재정적, 운영적, 평판적 손상을 초래할 가능성이 있는 광범위한 안전하지 않은 활동을 가능하게 하기 때문에 다면적인 위험을 초래합니다. 이러한 위협에 맞서기 위해서는 정기적인 업데이트, 직원 교육, 고급 위협 탐지 및 예방 도구를 포함한 강력한 사이버 보안 조치가 필수적입니다.