SuperBear RAT

Uma campanha de phishing com provável foco em organizações da sociedade civil sul-coreana revelou uma ameaça RAT (Trojan de acesso remoto) até então desconhecida chamada SuperBear. Especialistas em segurança identificaram esta ameaça num incidente envolvendo um ativista não identificado que recebeu um arquivo LNK adulterado no final de agosto de 2023. O endereço de e-mail do remetente fraudulento imitava um membro da organização sem fins lucrativos visada.

Uma Cadeia de Ataque em Vários Estágios Entrega a Carga Útil do SuperBear

Após a ativação, o arquivo LNK aciona um comando do PowerShell para iniciar a execução de um script do Visual Basic. Este script, por sua vez, recupera as cargas do estágio subsequente de um site WordPress legítimo, mas comprometido.

Essa carga compreende dois componentes: o binário Autoit3.exe, identificado como 'solmir.pdb', e um script AutoIt conhecido como 'solmir_1.pdb'. O primeiro serve de mecanismo de lançamento para o segundo.

O script AutoIt, por sua vez, emprega uma técnica de injeção de processo chamada process Hollowing. Essa técnica envolve a inserção de código incorreto em um processo suspenso. Neste caso, ele cria uma nova instância do Explorer.exe para facilitar a injeção do SuperBear RAT até então invisível.

O SuperBear RAT Executa Ações Invasivas nos Sistemas Comprometidos

O SuperBear RAT realiza três operações de ataque principais: exfiltração de dados de processo e sistema, execução de comandos shell e execução de uma DLL. Por padrão, o servidor C2 instrui os clientes a exfiltrar e processar dados do sistema, uma característica frequentemente associada a campanhas de ataque focadas em esforços de reconhecimento.

Além disso, os agentes da ameaça podem direcionar o RAT para executar comandos shell ou baixar uma DLL comprometida na máquina afetada. Nos casos em que a DLL necessita de um nome de arquivo, ela tentará gerar um nome aleatório; se não tiver êxito, o nome padrão será 'SuperBear'. Essa ameaça ganhou esse nome devido a esse comportamento, refletindo sua abordagem dinâmica de geração de nomes de arquivos.

O ataque é provisoriamente atribuído a um ator estatal norte-coreano conhecido como Kimsuky (também conhecido como APT43 ou por pseudônimos como Emerald Sleet, Nickel Kimball e Velvet Chollima). Esta atribuição é tirada da semelhança entre o vetor de ataque inicial e os comandos do PowerShell empregados.

RAT Ameaças podem ser Personalizadas para Se Adequarem à Agenda dos Cibercriminosos

As ameaças RAT (Trojan de acesso remoto) que podem ser personalizadas para se adequar à agenda de um cibercriminoso representam perigos significativos devido à sua natureza versátil e adaptável. Aqui estão alguns perigos principais associados a essas ameaças:

• • Controle remoto irrestrito : Os RATs fornecem aos cibercriminosos acesso completo e irrestrito a um sistema infectado. Este nível de controlo permite-lhes realizar uma vasta gama de atividades prejudiciais, incluindo roubo de dados, vigilância e manipulação de sistemas, tudo sem o conhecimento ou consentimento da vítima.

• • Roubo de dados : Os cibercriminosos podem usar RATs para coletar informações confidenciais, como dados pessoais, registros financeiros, credenciais de login, propriedade intelectual e muito mais. Os dados coletados podem ser vendidos na Dark Web ou usados para roubo de identidade, fraude financeira ou espionagem corporativa.

• • Espionagem e Vigilância : RATs personalizáveis são frequentemente usados para fins de espionagem, permitindo que os cibercriminosos monitorem e registrem as atividades da vítima, capturem imagens, registrem as teclas digitadas e até ativem a webcam e o microfone da vítima. Isso pode gerar violações de privacidade e a coleta de informações pessoais ou corporativas sensíveis.

• • Acesso persistente : os RATs são projetados para manter o acesso persistente a um sistema infectado, permitindo que os cibercriminosos mantenham o controle sobre o dispositivo comprometido por um longo período. Essa persistência torna difícil para as vítimas detectar e remover o malware, proporcionando aos invasores uma posição contínua no sistema.

• • Propagação e propagação : RATs personalizados podem ser programados para se espalharem para outros sistemas dentro de uma rede, levando potencialmente ao comprometimento de vários dispositivos e até mesmo de organizações inteiras. Isso pode resultar em danos generalizados, violações de dados e interrupções operacionais.

• • Ataques personalizados Os cibercriminosos podem adaptar RATs para executar vetores de ataque específicos, dificultando a detecção e prevenção por software de segurança. Esses ataques podem ser projetados para atingir organizações, setores ou indivíduos específicos, aumentando as chances de sucesso.

• • Evitando a detecção : RATs personalizados geralmente incorporam técnicas de antidetecção, incluindo criptografia, ofuscação e polimorfismo, tornando um desafio para as soluções de segurança identificar e mitigar a ameaça. Isso permite que os invasores permaneçam ocultos e evitem a detecção por longos períodos.

• • Implantação de ransomware : Os RATs podem ser usados como um meio de entregar cargas úteis de ransomware, bloqueando as vítimas de seus próprios sistemas ou criptografando seus dados. Os cibercriminosos podem então exigir um resgate em troca da chave de desencriptação, causando perturbações financeiras e operacionais.

• • Formação de botnet : RATs personalizáveis podem ser usados para recrutar dispositivos infectados para uma botnet, que pode então ser aproveitada para vários fins maliciosos, como ataques distribuídos de negação de serviço (DDoS), distribuição de spam ou propagação adicional de malware.

Em resumo, as ameaças RAT que podem ser personalizadas para se adequarem aos objectivos dos cibercriminosos representam um perigo multifacetado, uma vez que permitem uma vasta gama de actividades inseguras com potencial para danos financeiros, operacionais e de reputação significativos a indivíduos, organizações e até sectores inteiros. Para combater estas ameaças, são essenciais medidas robustas de segurança cibernética, incluindo atualizações regulares, formação de funcionários e ferramentas avançadas de deteção e prevenção de ameaças.