SuperBear SZCZUR

Kampania phishingowa, prawdopodobnie skupiająca się na organizacjach społeczeństwa obywatelskiego w Korei Południowej, ujawniła nieznane wcześniej zagrożenie RAT (trojan zdalnego dostępu) o nazwie SuperBear. Specjaliści ds. bezpieczeństwa zidentyfikowali to zagrożenie w incydencie z udziałem niezidentyfikowanego aktywisty, który pod koniec sierpnia 2023 r. otrzymał zmodyfikowany plik LNK. Adres e-mail zwodniczego nadawcy podszywał się pod członka docelowej organizacji non-profit.

Wieloetapowy łańcuch ataku zapewnia ładunek SuperBear

Po aktywacji plik LNK wyzwala polecenie programu PowerShell w celu zainicjowania wykonania skryptu Visual Basic. Skrypt ten z kolei pobiera ładunki z kolejnych etapów z legalnej, ale zhakowanej witryny WordPress.

Ładunek ten składa się z dwóch komponentów: pliku binarnego Autoit3.exe, oznaczonego jako „solmir.pdb” oraz skryptu AutoIt znanego jako „solmir_1.pdb”. Ten pierwszy służy jako mechanizm uruchamiający dla drugiego.

Z kolei skrypt AutoIt wykorzystuje technikę wstrzykiwania procesu zwaną wydrążaniem procesu. Technika ta polega na umieszczeniu złego kodu w zawieszonym procesie. W tym przypadku tworzy nową instancję Explorer.exe, aby ułatwić wstrzyknięcie wcześniej niewidocznego SuperBear RAT.

SuperBear RAT wykonuje inwazyjne działania na zaatakowanych systemach

SuperBear RAT przeprowadza trzy główne operacje ataku: eksfiltrację danych procesowych i systemowych, wykonywanie poleceń powłoki i uruchamianie biblioteki DLL. Domyślnie serwer C2 instruuje klientów, aby eksfiltrowali i przetwarzali dane systemowe, co jest cechą często kojarzoną z kampaniami ataków skupiającymi się na rozpoznaniu.

Ponadto ugrupowania zagrażające mogą nakazać RATowi wykonanie poleceń powłoki lub pobranie skompromitowanej biblioteki DLL na zaatakowaną maszynę. W przypadkach, gdy biblioteka DLL potrzebuje nazwy pliku, spróbuje wygenerować nazwę losową; w przypadku niepowodzenia domyślna nazwa to „SuperBear”. Zagrożenie to zyskało swoją nazwę dzięki temu zachowaniu, co odzwierciedla podejście do dynamicznego generowania nazw plików.

Atak wstępnie przypisuje się północnokoreańskiemu aktorowi reprezentującemu państwo narodowe, znanemu jako Kimsuky (określanemu również jako APT43 lub pod pseudonimami, takimi jak Emerald Sleet, Nickel Kimball i Velvet Chollima). To przypisanie wynika z podobieństwa między początkowym wektorem ataku a zastosowanymi poleceniami programu PowerShell.

Zagrożenia RAT można dostosować do potrzeb cyberprzestępców

Zagrożenia RAT (trojan zdalnego dostępu), które można dostosować do celów cyberprzestępcy, stwarzają poważne zagrożenia ze względu na ich wszechstronność i łatwość adaptacji. Oto kilka kluczowych zagrożeń związanych z takimi zagrożeniami:

• Nieograniczona zdalna kontrola : RAT zapewniają cyberprzestępcom pełny i nieograniczony dostęp do zainfekowanego systemu. Ten poziom kontroli umożliwia im przeprowadzanie szerokiego zakresu szkodliwych działań, w tym kradzieży danych, inwigilacji i manipulacji systemami, a wszystko to bez wiedzy i zgody ofiary.
• Kradzież danych : Cyberprzestępcy mogą wykorzystywać RAT do gromadzenia poufnych informacji, takich jak dane osobowe, dokumentacja finansowa, dane logowania, własność intelektualna i inne. Zebrane dane mogą być sprzedawane w Dark Web lub wykorzystywane do kradzieży tożsamości, oszustw finansowych lub szpiegostwa korporacyjnego.
• Szpiegostwo i nadzór : konfigurowalne RAT są często wykorzystywane do celów szpiegowskich, umożliwiając cyberprzestępcom monitorowanie i rejestrowanie działań ofiary, przechwytywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy, a nawet aktywację kamery internetowej i mikrofonu ofiary. Może to powodować naruszenia prywatności i gromadzenie wrażliwych danych osobowych lub firmowych.
• Stały dostęp : RAT mają na celu utrzymanie stałego dostępu do zainfekowanego systemu, umożliwiając cyberprzestępcom utrzymanie kontroli nad zaatakowanym urządzeniem przez dłuższy czas. Ta trwałość utrudnia ofiarom wykrycie i usunięcie złośliwego oprogramowania, zapewniając atakującym stałą pozycję w systemie.
• Propagacja i rozprzestrzenianie : Dostosowane RAT można zaprogramować tak, aby rozprzestrzeniały się na inne systemy w sieci, co potencjalnie prowadzi do naruszenia bezpieczeństwa wielu urządzeń, a nawet całych organizacji. Może to skutkować rozległymi szkodami, naruszeniami danych i zakłóceniami operacyjnymi.
• Ataki niestandardowe : cyberprzestępcy mogą dostosować RAT do wykonywania określonych wektorów ataków, co utrudnia oprogramowaniu zabezpieczającemu ich wykrycie i zapobieganie. Ataki te można zaprojektować tak, aby były wymierzone w określone organizacje, branże lub osoby, co zwiększa szanse powodzenia.
• Unikanie wykrycia : Dostosowane RAT często wykorzystują techniki zapobiegania wykryciu, w tym szyfrowanie, zaciemnianie i polimorfizm, co utrudnia rozwiązaniom zabezpieczającym identyfikację i łagodzenie zagrożenia. Dzięki temu atakujący mogą pozostać w ukryciu i uniknąć wykrycia przez dłuższy czas.
• Wdrażanie oprogramowania ransomware : RAT można wykorzystać do dostarczania oprogramowania ransomware, blokując ofiarom dostęp do ich własnych systemów lub szyfrując ich dane. Cyberprzestępcy mogą następnie zażądać okupu w zamian za klucz deszyfrujący, powodując zakłócenia finansowe i operacyjne.
• Tworzenie botnetu : Konfigurowalne RAT mogą być wykorzystywane do rekrutacji zainfekowanych urządzeń do botnetu, który można następnie wykorzystać do różnych złośliwych celów, takich jak rozproszone ataki typu „odmowa usługi” (DDoS), dystrybucja spamu lub dalsze rozprzestrzenianie złośliwego oprogramowania.

Podsumowując, zagrożenia RAT, które można dostosować do celów cyberprzestępców, stwarzają wieloaspektowe zagrożenie, ponieważ umożliwiają szeroki zakres niebezpiecznych działań, które mogą wyrządzić znaczne szkody finansowe, operacyjne i reputacyjne osobom, organizacjom, a nawet całym sektorom. Aby walczyć z tymi zagrożeniami, niezbędne są solidne środki cyberbezpieczeństwa, w tym regularne aktualizacje, szkolenia pracowników oraz zaawansowane narzędzia do wykrywania zagrożeń i zapobiegania im.