SuperBear RAT

Pikšķerēšanas kampaņa, kas, iespējams, ir vērsta uz Dienvidkorejas pilsoniskās sabiedrības organizācijām, ir atklājusi iepriekš nezināmu RAT (Remote Access Trojan) draudu ar nosaukumu SuperBear. Drošības speciālisti ir identificējuši šos draudus incidentā, kurā bija iesaistīts neidentificēts aktīvists, kurš 2023. gada augusta beigās saņēma viltotu LNK failu. Maldinošā sūtītāja e-pasta adrese atdarināja mērķa bezpeļņas organizācijas biedru.

Daudzpakāpju uzbrukuma ķēde nodrošina SuperBear kravnesību

Pēc aktivizēšanas LNK fails aktivizē PowerShell komandu, lai sāktu Visual Basic skripta izpildi. Šis skripts savukārt izgūst nākamā posma derīgās slodzes no likumīgas, taču apdraudētas WordPress vietnes.

Šī slodze sastāv no diviem komponentiem: Autoit3.exe binārais fails, kas identificēts kā “solmir.pdb”, un AutoIt skripts, kas pazīstams kā “solmir_1.pdb”. Pirmais kalpo kā otrā palaišanas mehānisms.

AutoIt skripts savukārt izmanto procesa ievadīšanas paņēmienu, ko sauc par procesa dobumu. Šis paņēmiens ietver slikta koda ievietošanu apturētā procesā. Šajā gadījumā tas izveido jaunu Explorer.exe gadījumu, lai atvieglotu iepriekš neredzētā SuperBear RAT ievadīšanu.

SuperBear RAT veic invazīvas darbības apdraudētās sistēmās

SuperBear RAT veic trīs primārās uzbrukuma darbības: procesa un sistēmas datu izfiltrēšanu, čaulas komandu izpildi un DLL palaišanu. Pēc noklusējuma C2 serveris uzdod klientiem izfiltrēt un apstrādāt sistēmas datus, kas bieži ir saistīta ar uzbrukuma kampaņām, kas vērstas uz izlūkošanas centieniem.

Turklāt apdraudējuma dalībnieki var likt RAT izpildīt čaulas komandas vai lejupielādēt apdraudēto DLL ietekmētajā datorā. Gadījumos, kad DLL ir nepieciešams faila nosaukums, tas mēģinās ģenerēt nejaušu nosaukumu; ja tas neizdodas, pēc noklusējuma tiek izmantots nosaukums SuperBear. Šis drauds savu nosaukumu ieguva no šādas uzvedības, atspoguļojot tā dinamisko failu nosaukumu ģenerēšanas pieeju.

Uzbrukums provizoriski tiek attiecināts uz Ziemeļkorejas nacionālās valsts dalībnieku, kas pazīstams kā Kimsuky (saukts arī par APT43 vai ar tādiem aizstājvārdiem kā Emerald Sleet, Nickel Kimball un Velvet Chollima). Šis attiecinājums ir iegūts no līdzības starp sākotnējo uzbrukuma vektoru un izmantotajām PowerShell komandām.

RAT draudus varētu pielāgot, lai tie atbilstu kibernoziedznieku programmai

RAT (Remote Access Trojan) draudi, kurus var pielāgot, lai tie atbilstu kibernoziedznieka darba kārtībai, rada ievērojamas briesmas to daudzpusīgā un pielāgojamā rakstura dēļ. Šeit ir daži galvenie apdraudējumi, kas saistīti ar šādiem draudiem:

• Neierobežota tālvadības pults : RAT nodrošina kibernoziedzniekiem pilnīgu un neierobežotu piekļuvi inficētajai sistēmai. Šāds kontroles līmenis ļauj viņiem veikt plašu kaitīgu darbību klāstu, tostarp datu zādzību, novērošanu un manipulācijas ar sistēmu, un tas viss notiek bez upura ziņas vai piekrišanas.
• Datu zādzība : kibernoziedznieki var izmantot RAT, lai savāktu sensitīvu informāciju, piemēram, personas datus, finanšu ierakstus, pieteikšanās akreditācijas datus, intelektuālo īpašumu un daudz ko citu. Apkopotos datus var pārdot Dark Web vai izmantot identitātes zādzībai, finanšu krāpšanai vai korporatīvai spiegošanai.
• Spiegošana un novērošana : pielāgojamie RAT bieži tiek izmantoti spiegošanas nolūkos, ļaujot kibernoziedzniekiem pārraudzīt un ierakstīt upura darbības, tvert ekrānuzņēmumus, ierakstīt taustiņsitienus un pat aktivizēt upura tīmekļa kameru un mikrofonu. Tas var izraisīt privātuma pārkāpumus un sensitīvas personas vai uzņēmuma informācijas vākšanu.
• Pastāvīga piekļuve : RAT ir paredzēti, lai uzturētu pastāvīgu piekļuvi inficētai sistēmai, ļaujot kibernoziedzniekiem ilgstoši saglabāt kontroli pār apdraudēto ierīci. Šī noturība apgrūtina upuriem atklāt un noņemt ļaunprātīgu programmatūru, nodrošinot uzbrucējiem pastāvīgu stabilitāti sistēmā.
• Pavairošana un izplatīšana : pielāgotus RAT var ieprogrammēt, lai tie izplatītos citās tīkla sistēmās, potenciāli izraisot vairāku ierīču un pat veselu organizāciju apdraudējumu. Tas var izraisīt plašus bojājumus, datu pārkāpumus un darbības traucējumus.
• Pielāgoti uzbrukumi : kibernoziedznieki var pielāgot RAT, lai izpildītu konkrētus uzbrukuma vektorus, apgrūtinot drošības programmatūrai to atklāšanu un novēršanu. Šos uzbrukumus var veidot, lai tie būtu vērsti pret konkrētām organizācijām, nozarēm vai personām, tādējādi palielinot panākumu iespējas.
• Izvairīšanās no noteikšanas : pielāgotajos RAT bieži ir ietvertas pretatrašanas metodes, tostarp šifrēšana, neskaidrība un polimorfisms, tādējādi apgrūtinot drošības risinājumus, lai identificētu un mazinātu draudus. Tas ļauj uzbrucējiem palikt paslēptiem un izvairīties no atklāšanas ilgāku laiku.
• Ransomware izvietošana : RAT var izmantot kā līdzekli, lai piegādātu izspiedējvīrusu lietderīgās slodzes, bloķējot upurus no viņu pašu sistēmām vai šifrējot viņu datus. Pēc tam kibernoziedznieki var pieprasīt izpirkuma maksu apmaiņā pret atšifrēšanas atslēgu, radot finansiālus un darbības traucējumus.
• Bottīkla veidošana : pielāgojamus RAT var izmantot, lai piesaistītu inficētas ierīces robottīklā, ko pēc tam var izmantot dažādiem ļaunprātīgiem mērķiem, piemēram, izplatītiem pakalpojumu atteikuma (DDoS) uzbrukumiem, surogātpasta izplatīšanai vai ļaunprātīgas programmatūras tālākai izplatīšanai.

Rezumējot, RAT draudi, kurus var pielāgot, lai tie atbilstu kibernoziedznieku mērķiem, rada daudzpusīgus draudus, jo tie nodrošina plašu nedrošu darbību klāstu, kas var radīt ievērojamu finansiālu, darbības un reputācijas kaitējumu personām, organizācijām un pat veselām nozarēm. Lai cīnītos pret šiem draudiem, būtiski ir stingri kiberdrošības pasākumi, tostarp regulāri atjauninājumi, darbinieku apmācība un uzlaboti draudu noteikšanas un novēršanas rīki.