SuperBeer RAT
Een phishing-campagne met een waarschijnlijke focus op Zuid-Koreaanse maatschappelijke organisaties heeft een voorheen onbekende RAT-dreiging (Remote Access Trojan) onthuld, genaamd SuperBear. Beveiligingsspecialisten hebben deze dreiging geïdentificeerd bij een incident waarbij een onbekende activist betrokken was die eind augustus 2023 een geknoeid LNK-bestand ontving. Het e-mailadres van de misleidende afzender bootste een lid van de beoogde non-profitorganisatie na.
Inhoudsopgave
Een aanvalsketen in meerdere fasen levert de SuperBear-lading
Bij activering activeert het LNK-bestand een PowerShell-opdracht om de uitvoering van een Visual Basic-script te initiëren. Dit script haalt op zijn beurt de payloads van de volgende fase op van een legitieme maar gecompromitteerde WordPress-website.
Deze payload bestaat uit twee componenten: het binaire bestand Autoit3.exe, geïdentificeerd als 'solmir.pdb', en een AutoIt-script dat bekend staat als 'solmir_1.pdb'. De eerste dient als lanceermechanisme voor de laatste.
Het AutoIt-script maakt op zijn beurt gebruik van een procesinjectietechniek die procesuitholling wordt genoemd. Deze techniek omvat het invoegen van slechte code in een opgeschort proces. In dit geval wordt een nieuw exemplaar van Explorer.exe gemaakt om de injectie van de voorheen onzichtbare SuperBear RAT te vergemakkelijken.
De SuperBear RAT voert invasieve acties uit op gecompromitteerde systemen
De SuperBear RAT voert drie primaire aanvalsoperaties uit: het exfiltreren van proces- en systeemgegevens, het uitvoeren van shell-opdrachten en het uitvoeren van een DLL. Standaard instrueert de C2-server clients om systeemgegevens te exfiltreren en te verwerken, een kenmerk dat vaak wordt geassocieerd met aanvalscampagnes gericht op verkenningsinspanningen.
Bovendien kunnen bedreigingsactoren de RAT opdracht geven om shell-opdrachten uit te voeren of een gecompromitteerde DLL naar de getroffen machine te downloaden. In gevallen waarin de DLL een bestandsnaam nodig heeft, zal deze proberen een willekeurige naam te genereren; als dit niet lukt, wordt standaard de naam 'SuperBear' gebruikt. Deze bedreiging heeft zijn naam te danken aan dit gedrag, wat de dynamische benadering van het genereren van bestandsnamen weerspiegelt.
De aanval wordt voorlopig toegeschreven aan een Noord-Koreaanse natiestaatacteur die bekend staat als Kimsuky (ook wel APT43 genoemd of onder aliassen als Emerald Sleet, Nickel Kimball en Velvet Chollima). Deze toeschrijving wordt ontleend aan de gelijkenis tussen de aanvankelijke aanvalsvector en de gebruikte PowerShell-opdrachten.
RAT-bedreigingen kunnen worden aangepast aan de agenda van cybercriminelen
RAT-bedreigingen (Remote Access Trojan) die kunnen worden aangepast aan de agenda van cybercriminelen, vormen aanzienlijke gevaren vanwege hun veelzijdige en aanpasbare aard. Hier volgen enkele belangrijke gevaren die met dergelijke bedreigingen gepaard gaan:
- Onbeperkte afstandsbediening : RAT's bieden cybercriminelen volledige en onbeperkte toegang tot een geïnfecteerd systeem. Door dit controleniveau kunnen ze een breed scala aan schadelijke activiteiten uitvoeren, waaronder gegevensdiefstal, toezicht en systeemmanipulatie, allemaal zonder medeweten of toestemming van het slachtoffer.
- Gegevensdiefstal : Cybercriminelen kunnen RAT's gebruiken om gevoelige informatie te verzamelen, zoals persoonlijke gegevens, financiële gegevens, inloggegevens, intellectueel eigendom en meer. De verzamelde gegevens kunnen op het Dark Web worden verkocht of worden gebruikt voor identiteitsdiefstal, financiële fraude of bedrijfsspionage.
- Spionage en surveillance : Aanpasbare RAT's worden vaak gebruikt voor spionagedoeleinden, waardoor cybercriminelen de activiteiten van een slachtoffer kunnen volgen en opnemen, schermafbeeldingen kunnen maken, toetsaanslagen kunnen opnemen en zelfs de webcam en microfoon van het slachtoffer kunnen activeren. Dit kan leiden tot schendingen van de privacy en het verzamelen van gevoelige persoonlijke of bedrijfsinformatie.
- Persistente toegang : RAT's zijn ontworpen om permanente toegang tot een geïnfecteerd systeem te behouden, waardoor cybercriminelen gedurende langere tijd de controle over het aangetaste apparaat kunnen behouden. Deze persistentie maakt het voor slachtoffers een uitdaging om de malware te detecteren en te verwijderen, waardoor aanvallers voortdurend voet aan de grond krijgen in het systeem.
- Voortplanting en verspreiding : Aangepaste RAT's kunnen worden geprogrammeerd om zich naar andere systemen binnen een netwerk te verspreiden, wat mogelijk kan leiden tot het compromitteren van meerdere apparaten en zelfs hele organisaties. Dit kan leiden tot wijdverbreide schade, datalekken en operationele verstoringen.
- Aangepaste aanvallen : Cybercriminelen kunnen RAT's aanpassen om specifieke aanvalsvectoren uit te voeren, waardoor het moeilijk wordt voor beveiligingssoftware om deze te detecteren en te voorkomen. Deze aanvallen kunnen worden ontworpen om zich op specifieke organisaties, sectoren of individuen te richten, waardoor de kans op succes groter wordt.
- Detectie ontwijken : Aangepaste RAT's bevatten vaak anti-detectietechnieken, waaronder encryptie, verduistering en polymorfisme, waardoor het voor beveiligingsoplossingen een uitdaging wordt om de dreiging te identificeren en te beperken. Hierdoor kunnen aanvallers verborgen blijven en detectie gedurende langere perioden vermijden.
- Ransomware-implementatie : RAT's kunnen worden gebruikt als middel om ransomware-payloads te leveren, slachtoffers buiten hun eigen systemen te sluiten of hun gegevens te versleutelen. Cybercriminelen kunnen vervolgens losgeld eisen in ruil voor de decoderingssleutel, wat financiële en operationele verstoringen veroorzaakt.
- Botnetvorming : Aanpasbare RAT's kunnen worden gebruikt om geïnfecteerde apparaten in een botnet te werven, dat vervolgens kan worden gebruikt voor verschillende kwaadaardige doeleinden, zoals DDoS-aanvallen (distributed denial-of-service), de verspreiding van spam of de verdere verspreiding van malware.
Samenvattend vormen RAT-bedreigingen die kunnen worden aangepast aan de doelstellingen van cybercriminelen een gevaar met meerdere facetten, omdat ze een breed scala aan onveilige activiteiten mogelijk maken met de potentie voor aanzienlijke financiële, operationele en reputatieschade voor individuen, organisaties en zelfs hele sectoren. Om deze bedreigingen te bestrijden zijn robuuste cyberbeveiligingsmaatregelen, waaronder regelmatige updates, opleiding van medewerkers en geavanceerde tools voor het detecteren en voorkomen van bedreigingen, essentieel.