Super Bear RAT

Sukčiavimo kampanija, kuri greičiausiai buvo skirta Pietų Korėjos pilietinės visuomenės organizacijoms, atskleidė anksčiau nežinomą RAT (nuotolinės prieigos Trojos arklys) grėsmę, pavadintą SuperBear. Saugumo specialistai šią grėsmę nustatė per incidentą, kai 2023 m. rugpjūčio mėn. pabaigoje dalyvavo nenustatytas aktyvistas, gavęs sugadintą LNK failą. Apgaulingas siuntėjo elektroninio pašto adresas mėgdžiojo ne pelno siekiančios organizacijos narį.

Daugiapakopė atakos grandinė suteikia „SuperBear“ naudingą apkrovą

Suaktyvinus, LNK failas suaktyvina „PowerShell“ komandą, kad būtų pradėtas „Visual Basic“ scenarijaus vykdymas. Šis scenarijus, savo ruožtu, nuskaito tolesnio etapo naudingąsias apkrovas iš teisėtos, tačiau pažeistos „WordPress“ svetainės.

Šią naudingąją apkrovą sudaro du komponentai: dvejetainis Autoit3.exe, identifikuojamas kaip „solmir.pdb“, ir „AutoIt“ scenarijus, žinomas kaip „solmir_1.pdb“. Pirmasis yra pastarojo paleidimo mechanizmas.

„AutoIt“ scenarijus savo ruožtu naudoja proceso įpurškimo techniką, vadinamą proceso tuščiaviduriu. Ši technika apima netinkamo kodo įterpimą į sustabdytą procesą. Šiuo atveju jis sukuria naują Explorer.exe egzempliorių, kad palengvintų anksčiau nematyto SuperBear RAT injekciją.

SuperBear RAT atlieka invazinius veiksmus pažeistose sistemose

SuperBear RAT atlieka tris pagrindines atakos operacijas: proceso ir sistemos duomenų išfiltravimą, apvalkalo komandų vykdymą ir DLL paleidimą. Pagal numatytuosius nustatymus C2 serveris nurodo klientams išfiltruoti ir apdoroti sistemos duomenis, o tai dažnai siejama su atakų kampanijomis, nukreiptomis į žvalgybos pastangas.

Be to, grėsmės veikėjai gali nukreipti RAT vykdyti apvalkalo komandas arba atsisiųsti pažeistą DLL į paveiktą kompiuterį. Tais atvejais, kai DLL reikia failo pavadinimo, jis bandys sugeneruoti atsitiktinį failo pavadinimą; jei nepavyksta, pagal numatytuosius nustatymus jis vadinsis „SuperBear“. Ši grėsmė gavo savo pavadinimą dėl tokio elgesio, atspindinčio jos dinamišką failų vardų generavimo metodą.

Išpuolis preliminariai priskiriamas Šiaurės Korėjos nacionalinės valstybės veikėjui, žinomam kaip Kimsuky (taip pat vadinamas APT43 arba tokiais slapyvardžiais kaip Emerald Sleet, Nickel Kimball ir Velvet Chollima). Šis priskyrimas gaunamas iš pradinio atakos vektoriaus ir naudojamų „PowerShell“ komandų panašumo.

RAT grėsmės gali būti pritaikytos pagal kibernetinių nusikaltėlių darbotvarkę

RAT (nuotolinės prieigos Trojos arklys) grėsmės, kurias galima pritaikyti taip, kad jos atitiktų kibernetinio nusikaltėlio darbotvarkę, kelia didelį pavojų dėl savo universalumo ir pritaikomo pobūdžio. Štai keletas pagrindinių pavojų, susijusių su tokiomis grėsmėmis:

• Neribotas nuotolinis valdymas : RAT suteikia kibernetiniams nusikaltėliams visišką ir neribotą prieigą prie užkrėstos sistemos. Toks kontrolės lygis leidžia jiems vykdyti daugybę žalingų veiksmų, įskaitant duomenų vagystes, stebėjimą ir manipuliavimą sistemomis, ir visa tai be aukos žinios ar sutikimo.
• Duomenų vagystė : kibernetiniai nusikaltėliai gali naudoti RAT rinkdami neskelbtiną informaciją, pvz., asmens duomenis, finansinius įrašus, prisijungimo duomenis, intelektinę nuosavybę ir kt. Surinkti duomenys gali būti parduodami „Dark Web“ arba naudojami tapatybės vagystei, finansiniam sukčiavimui ar įmonių šnipinėjimui.
• Šnipinėjimas ir stebėjimas : pritaikomi RAT dažnai naudojami šnipinėjimo tikslais, todėl kibernetiniai nusikaltėliai gali stebėti ir įrašyti aukos veiklą, užfiksuoti ekrano kopijas, įrašyti klavišų paspaudimus ir net suaktyvinti aukos internetinę kamerą bei mikrofoną. Tai gali sukelti privatumo pažeidimus ir neskelbtinos asmeninės ar įmonės informacijos rinkimą.
• Nuolatinė prieiga : RAT yra skirti nuolatinei prieigai prie užkrėstos sistemos palaikyti, leidžiant kibernetiniams nusikaltėliams ilgą laiką kontroliuoti pažeistą įrenginį. Dėl tokio patvarumo aukoms sunku aptikti ir pašalinti kenkėjiškas programas, todėl užpuolikai gali nuolat įsitvirtinti sistemoje.
• Platinimas ir platinimas : pritaikytus RAT galima užprogramuoti taip, kad jie pasklistų į kitas tinklo sistemas, todėl gali kilti pavojus keliems įrenginiams ir net ištisoms organizacijoms. Tai gali sukelti didelę žalą, duomenų pažeidimus ir veikimo sutrikimus.
• Individualizuotos atakos : kibernetiniai nusikaltėliai gali pritaikyti RAT vykdyti konkrečius atakų vektorius, todėl saugos programinei įrangai sunku juos aptikti ir užkirsti kelią. Šios atakos gali būti skirtos tam tikroms organizacijoms, pramonės šakoms ar asmenims, padidinant sėkmės tikimybę.
• Aptikimo vengimas : pritaikyti RAT dažnai apima neaptikimo būdus, įskaitant šifravimą, užmaskavimą ir polimorfizmą, todėl saugumo sprendimams nustatyti ir sumažinti grėsmę yra sudėtinga. Tai leidžia užpuolikams likti paslėptiems ir išvengti aptikimo ilgą laiką.
• Išpirkos reikalaujančios programinės įrangos diegimas : RAT gali būti naudojami kaip priemonė išpirkos reikalaujančių programų naudingiesiems kroviniams pristatyti, užrakinti aukas iš savo sistemų arba užšifruoti jų duomenis. Tada kibernetiniai nusikaltėliai gali reikalauti išpirkos mainais už iššifravimo raktą, sukeldami finansinius ir veiklos sutrikimus.
• Botneto formavimas : tinkinami RAT gali būti naudojami užkrėstiems įrenginiams įtraukti į robotų tinklą, kuris vėliau gali būti panaudotas įvairiems kenkėjiškiems tikslams, pvz., paskirstytoms paslaugų atsisakymo (DDoS) atakoms, šiukšlių platinimui ar tolesniam kenkėjiškų programų platinimui.

Apibendrinant galima teigti, kad RAT grėsmės, kurias galima pritaikyti pagal kibernetinių nusikaltėlių tikslus, kelia daugialypį pavojų, nes leidžia vykdyti daugybę nesaugių veiklų, galinčių padaryti didelę finansinę, veiklos ir reputacijos žalą asmenims, organizacijoms ir net ištisiems sektoriams. Norint kovoti su šiomis grėsmėmis, būtinos patikimos kibernetinio saugumo priemonės, įskaitant reguliarius atnaujinimus, darbuotojų mokymus ir pažangias grėsmių aptikimo bei prevencijos priemones.