Multi-lisens rabatter
Threat Database Malware SuperBear RATTE

SuperBear RATTE

Med Mezo i Malware, Advanced Persistent Threat (APT), Remote Administration Tools
Oversett til:
Norsk

En phishing-kampanje med et sannsynlig fokus på sørkoreanske sivilsamfunnsorganisasjoner har avduket en tidligere ukjent RAT (Remote Access Trojan) trussel kalt SuperBear. Sikkerhetsspesialister har identifisert denne trusselen i en hendelse som involverte en uidentifisert aktivist som mottok en tuklet LNK-fil mot slutten av august 2023. Den villedende avsenderens e-postadresse etterlignet et medlem av den målrettede ideelle organisasjonen.

En flertrinns angrepskjede leverer SuperBear-nyttelasten

Ved aktivering utløser LNK-filen en PowerShell-kommando for å starte kjøringen av et Visual Basic-skript. Dette skriptet henter på sin side de påfølgende nyttelastene fra et legitimt, men kompromittert WordPress-nettsted.

Denne nyttelasten består av to komponenter: Autoit3.exe-binæren, identifisert som 'solmir.pdb', og et AutoIt-skript kjent som 'solmir_1.pdb.' Førstnevnte fungerer som utskytningsmekanismen for sistnevnte.

AutoIt-skriptet bruker på sin side en prosessinjeksjonsteknikk kalt prosessuthuling. Denne teknikken innebærer å sette inn dårlig kode i en suspendert prosess. I dette tilfellet oppretter den en ny forekomst av Explorer.exe for å lette injeksjonen av den tidligere usett SuperBear RAT.

SuperBear RAT utfører invasive handlinger på kompromitterte systemer

SuperBear RAT utfører tre primære angrepsoperasjoner: eksfiltrere prosess- og systemdata, utføre skallkommandoer og kjøre en DLL. Som standard instruerer C2-serveren klienter til å eksfiltrere og behandle systemdata, en egenskap som ofte forbindes med angrepskampanjer fokusert på rekognoseringsarbeid.

I tillegg kan trusselaktører lede RAT til å utføre skallkommandoer eller laste ned en kompromittert DLL til den berørte maskinen. I tilfeller der DLL-en trenger et filnavn, vil den forsøke å generere et tilfeldig; hvis det ikke lykkes, bruker den som standard navnet 'SuperBear'. Denne trusselen fikk navnet sitt fra denne oppførselen, noe som gjenspeiler dens dynamiske filnavngenerering.

Angrepet er foreløpig tilskrevet en nordkoreansk nasjonalstatsaktør kjent som Kimsuky (også referert til som APT43 eller av aliaser som Emerald Sleet, Nickel Kimball og Velvet Chollima). Denne attribusjonen er hentet fra likheten mellom den første angrepsvektoren og PowerShell-kommandoene som brukes.

RAT-trusler kan tilpasses for å passe til agendaen for nettkriminelle

RAT (Remote Access Trojan) trusler som kan tilpasses for å passe en nettkriminells agenda utgjør betydelige farer på grunn av deres allsidige og tilpasningsdyktige natur. Her er noen viktige farer forbundet med slike trusler:

  • Ubegrenset fjernkontroll : RAT-er gir nettkriminelle fullstendig og ubegrenset tilgang til et infisert system. Dette kontrollnivået lar dem utføre et bredt spekter av skadelige aktiviteter, inkludert datatyveri, overvåking og systemmanipulasjon, alt uten offerets viten eller samtykke.
  • Datatyveri : Nettkriminelle kan bruke RAT-er til å samle inn sensitiv informasjon som personopplysninger, økonomiske poster, påloggingsinformasjon, åndsverk og mer. De innsamlede dataene kan selges på Dark Web eller brukes til identitetstyveri, økonomisk svindel eller bedriftsspionasje.
  • Spionasje og overvåking : Tilpassbare RAT-er brukes ofte til spionasjeformål, som gjør det mulig for nettkriminelle å overvåke og registrere et offers aktiviteter, ta skjermbilder, ta opp tastetrykk og til og med aktivere offerets webkamera og mikrofon. Dette kan generere brudd på personvernet og innsamling av sensitiv personlig eller bedriftsinformasjon.
  • Vedvarende tilgang : RAT-er er utviklet for å opprettholde vedvarende tilgang til et infisert system, slik at nettkriminelle kan opprettholde kontrollen over den kompromitterte enheten i en lengre periode. Denne utholdenheten gjør det utfordrende for ofre å oppdage og fjerne skadelig programvare, og gir angripere et kontinuerlig fotfeste i systemet.
  • Utbredelse og spredning : Tilpassede RAT-er kan programmeres til å spre seg til andre systemer i et nettverk, noe som potensielt kan føre til kompromiss mellom flere enheter og til og med hele organisasjoner. Dette kan resultere i omfattende skader, datainnbrudd og driftsforstyrrelser.
  • Tilpassede angrep : Cyberkriminelle kan skreddersy RAT-er for å utføre spesifikke angrepsvektorer, noe som gjør det vanskelig for sikkerhetsprogramvare å oppdage og forhindre dem. Disse angrepene kan utformes for å målrette mot spesifikke organisasjoner, bransjer eller enkeltpersoner, noe som øker sjansene for suksess.
  • Unngå deteksjon : Tilpassede RAT-er inkluderer ofte anti-deteksjonsteknikker, inkludert kryptering, tilsløring og polymorfisme, noe som gjør det utfordrende for sikkerhetsløsninger å identifisere og redusere trusselen. Dette gjør at angripere kan forbli skjult og unngå oppdagelse i lengre perioder.
  • Utrulling av løsepengevare : RAT-er kan brukes som et middel til å levere løsepengeprogramvare, låse ofre ute fra sine egne systemer eller kryptere dataene deres. Nettkriminelle kan da kreve løsepenger i bytte for dekrypteringsnøkkelen, noe som forårsaker økonomiske og operasjonelle forstyrrelser.
  • Botnettformasjon : Tilpassbare RAT-er kan brukes til å rekruttere infiserte enheter til et botnett, som deretter kan utnyttes til ulike ondsinnede formål, for eksempel distribuert denial-of-service (DDoS)-angrep, spam-distribusjon eller videre spredning av skadelig programvare.

Oppsummert utgjør RAT-trusler som kan tilpasses for å passe nettkriminelles mål en mangefasettert fare, siden de muliggjør et bredt spekter av utrygge aktiviteter med potensial for betydelig økonomisk, operasjonell og omdømmeskade for enkeltpersoner, organisasjoner og til og med hele sektorer. For å bekjempe disse truslene er robuste cybersikkerhetstiltak, inkludert regelmessige oppdateringer, opplæring av ansatte og avanserte trusseldeteksjons- og forebyggingsverktøy, avgjørende.

Trender

Mest sett

Laster inn...