Diskaun Berbilang Lesen
Threat Database Malware TIKUS SuperBear

TIKUS SuperBear

Menjelang Mezo pada Malware, Advanced Persistent Threat (APT), Remote Administration Tools
Terjemahkan ke
بهاس ملايو

Kempen pancingan data dengan kemungkinan tertumpu pada organisasi masyarakat sivil Korea Selatan telah mendedahkan ancaman RAT (Remote Access Trojan) yang sebelum ini tidak diketahui bernama SuperBear. Pakar keselamatan telah mengenal pasti ancaman ini dalam insiden yang melibatkan aktivis tidak dikenali yang menerima fail LNK yang diusik pada penghujung Ogos 2023. Alamat e-mel pengirim yang menipu itu meniru ahli organisasi bukan untung yang disasarkan.

Rantaian Serangan Berbilang Peringkat Menyampaikan Muatan SuperBear

Selepas pengaktifan, fail LNK mencetuskan arahan PowerShell untuk memulakan pelaksanaan skrip Visual Basic. Skrip ini, seterusnya, mendapatkan semula muatan peringkat seterusnya daripada laman web WordPress yang sah namun terjejas.

Muatan ini terdiri daripada dua komponen: perduaan Autoit3.exe, yang dikenal pasti sebagai 'solmir.pdb,' dan skrip AutoIt dikenali sebagai 'solmir_1.pdb.' Yang pertama berfungsi sebagai mekanisme pelancaran untuk yang terakhir.

Skrip AutoIt pula menggunakan teknik suntikan proses yang dipanggil proses hollowing. Teknik ini melibatkan memasukkan kod buruk ke dalam proses yang digantung. Dalam contoh ini, ia mencipta contoh baharu Explorer.exe untuk memudahkan suntikan RAT SuperBear yang tidak kelihatan sebelum ini.

RAT SuperBear Melakukan Tindakan Invasif pada Sistem Terkompromi

SuperBear RAT menjalankan tiga operasi serangan utama: mengeksfiltrasi data proses dan sistem, melaksanakan perintah shell dan menjalankan DLL. Secara lalai, pelayan C2 mengarahkan pelanggan untuk mengeluarkan dan memproses data sistem, ciri yang sering dikaitkan dengan kempen serangan yang tertumpu pada usaha peninjauan.

Selain itu, pelaku ancaman boleh mengarahkan RAT untuk melaksanakan arahan shell atau memuat turun DLL yang terjejas ke mesin yang terjejas. Dalam kes di mana DLL memerlukan nama fail, ia akan cuba menjana nama fail secara rawak; jika tidak berjaya, ia lalai kepada nama 'SuperBear.' Ancaman ini mendapat namanya daripada tingkah laku ini, mencerminkan pendekatan penjanaan nama fail dinamiknya.

Serangan itu secara sementara dikaitkan dengan pelakon negara bangsa Korea Utara yang dikenali sebagai Kimsuky (juga dirujuk sebagai APT43 atau dengan alias seperti Emerald Sleet, Nickel Kimball dan Velvet Chollima). Atribusi ini diambil daripada persamaan antara vektor serangan awal dan arahan PowerShell yang digunakan.

Ancaman RAT boleh Disesuaikan agar Sesuai dengan Agenda Penjenayah Siber

Ancaman RAT (Remote Access Trojan) yang boleh disesuaikan agar sesuai dengan agenda penjenayah siber menimbulkan bahaya yang ketara kerana sifatnya yang serba boleh dan boleh disesuaikan. Berikut ialah beberapa bahaya utama yang dikaitkan dengan ancaman tersebut:

  • Kawalan Jauh Tanpa Sekatan : RAT menyediakan penjenayah siber akses yang lengkap dan tidak terhad kepada sistem yang dijangkiti. Tahap kawalan ini membolehkan mereka menjalankan pelbagai aktiviti berbahaya, termasuk kecurian data, pengawasan dan manipulasi sistem, semuanya tanpa pengetahuan atau persetujuan mangsa.
  • Kecurian Data : Penjenayah siber boleh menggunakan RAT untuk mengumpul maklumat sensitif seperti data peribadi, rekod kewangan, kelayakan log masuk, harta intelek dan banyak lagi. Data yang dikumpul boleh dijual di Web Gelap atau digunakan untuk kecurian identiti, penipuan kewangan atau pengintipan korporat.
  • Pengintipan dan Pengawasan : RAT yang boleh disesuaikan sering digunakan untuk tujuan pengintipan, membolehkan penjenayah siber memantau dan merakam aktiviti mangsa, menangkap tangkapan skrin, merakam ketukan kekunci dan juga mengaktifkan kamera web dan mikrofon mangsa. Ini boleh menjana pelanggaran privasi dan pengumpulan maklumat peribadi atau korporat yang sensitif.
  • Akses Berterusan : RAT direka bentuk untuk mengekalkan akses berterusan kepada sistem yang dijangkiti, membenarkan penjenayah siber mengekalkan kawalan ke atas peranti yang terjejas untuk tempoh yang panjang. Kegigihan ini menjadikan mangsa mencabar untuk mengesan dan mengalih keluar perisian hasad, memberikan penyerang bertapak berterusan dalam sistem.
  • Penyebaran dan Penyebaran : RAT tersuai boleh diprogramkan untuk merebak ke sistem lain dalam rangkaian, yang berpotensi membawa kepada kompromi berbilang peranti dan malah keseluruhan organisasi. Ini boleh mengakibatkan kerosakan yang meluas, pelanggaran data dan gangguan operasi.
  • Serangan Tersuai : Penjenayah siber boleh menyesuaikan RAT untuk melaksanakan vektor serangan tertentu, menyukarkan perisian keselamatan untuk mengesan dan menghalangnya. Serangan ini boleh direka bentuk untuk menyasarkan organisasi, industri atau individu tertentu, meningkatkan peluang kejayaan.
  • Mengelak Pengesanan : RAT tersuai selalunya menggabungkan teknik anti-pengesan, termasuk penyulitan, pengeliruan dan polimorfisme, menjadikannya mencabar bagi penyelesaian keselamatan untuk mengenal pasti dan mengurangkan ancaman. Ini membolehkan penyerang kekal tersembunyi dan mengelakkan pengesanan untuk tempoh yang lama.
  • Penerapan Ransomware : RAT boleh digunakan sebagai cara untuk menghantar muatan perisian tebusan, mengunci mangsa daripada sistem mereka sendiri atau menyulitkan data mereka. Penjenayah siber kemudiannya boleh meminta wang tebusan sebagai pertukaran untuk kunci penyahsulitan, menyebabkan gangguan kewangan dan operasi.
  • Pembentukan Botnet : RAT boleh disesuaikan boleh digunakan untuk merekrut peranti yang dijangkiti ke dalam botnet, yang kemudiannya boleh dimanfaatkan untuk pelbagai tujuan hasad, seperti serangan distributed denial-of-service (DDoS), pengedaran spam atau penyebaran perisian hasad selanjutnya.

Ringkasnya, ancaman RAT yang boleh disesuaikan agar sesuai dengan objektif penjenayah siber menimbulkan bahaya pelbagai rupa, kerana ia membolehkan pelbagai aktiviti tidak selamat dengan potensi kerosakan kewangan, operasi dan reputasi yang ketara kepada individu, organisasi dan juga keseluruhan sektor. Untuk memerangi ancaman ini, langkah keselamatan siber yang teguh, termasuk kemas kini biasa, latihan pekerja dan alat pengesanan dan pencegahan ancaman lanjutan, adalah penting.

Trending

Paling banyak dilihat

Memuatkan...