SuperBear RAT
O campanie de phishing cu un accent probabil pe organizațiile societății civile din Coreea de Sud a dezvăluit o amenințare RAT (Remote Access Trojan) necunoscută anterior, numită SuperBear. Specialiștii în securitate au identificat această amenințare într-un incident care a implicat un activist neidentificat care a primit un fișier LNK manipulat spre sfârșitul lunii august 2023. Adresa de e-mail a expeditorului înșelător a imitat un membru al organizației non-profit vizate.
Cuprins
Un lanț de atac în mai multe etape oferă sarcina utilă SuperBear
La activare, fișierul LNK declanșează o comandă PowerShell pentru a iniția execuția unui script Visual Basic. Acest script, la rândul său, preia încărcăturile utile ale etapei ulterioare de pe un site web WordPress legitim, dar compromis.
Această sarcină utilă cuprinde două componente: binarul Autoit3.exe, identificat ca „solmir.pdb” și un script AutoIt cunoscut sub numele de „solmir_1.pdb”. Primul servește drept mecanism de lansare pentru cel din urmă.
Scriptul AutoIt, la rândul său, folosește o tehnică de injectare a procesului numită golirea procesului. Această tehnică implică inserarea unui cod rău într-un proces suspendat. În acest caz, creează o nouă instanță Explorer.exe pentru a facilita injectarea SuperBear RAT nevăzută anterior.
SuperBear RAT efectuează acțiuni invazive pe sisteme compromise
SuperBear RAT efectuează trei operațiuni principale de atac: exfiltrarea datelor de proces și de sistem, executarea comenzilor shell și rularea unui DLL. În mod implicit, serverul C2 instruiește clienții să exfiltreze și să proceseze datele sistemului, o caracteristică adesea asociată cu campaniile de atac concentrate pe eforturile de recunoaștere.
În plus, actorii amenințărilor pot direcționa RAT să execute comenzi shell sau să descarce un DLL compromis pe mașina afectată. În cazurile în care DLL-ul are nevoie de un nume de fișier, va încerca să genereze unul aleatoriu; dacă nu reușește, este implicit numele „SuperBear”. Această amenințare și-a câștigat numele din acest comportament, reflectând abordarea dinamică a generării numelor de fișiere.
Atacul este atribuit provizoriu unui actor nord-coreean cunoscut sub numele de Kimsuky (numit și APT43 sau prin pseudonime precum Emerald Sleet, Nickel Kimball și Velvet Chollima). Această atribuire este extrasă din asemănarea dintre vectorul de atac inițial și comenzile PowerShell folosite.
Amenințările RAT ar putea fi personalizate pentru a se potrivi cu agenda infractorilor cibernetici
Amenințările RAT (Remote Access Trojan) care pot fi personalizate pentru a se potrivi cu agenda unui criminal cibernetic prezintă pericole semnificative datorită naturii lor versatile și adaptabile. Iată câteva pericole cheie asociate cu astfel de amenințări:
- Control nerestricționat de la distanță : RAT-urile oferă infractorilor cibernetici acces complet și nerestricționat la un sistem infectat. Acest nivel de control le permite să desfășoare o gamă largă de activități dăunătoare, inclusiv furtul de date, supravegherea și manipularea sistemului, toate fără știrea sau consimțământul victimei.
- Furtul de date : infractorii cibernetici pot folosi RAT-urile pentru a colecta informații sensibile, cum ar fi date personale, înregistrări financiare, acreditări de conectare, proprietate intelectuală și multe altele. Datele colectate pot fi vândute pe Dark Web sau folosite pentru furt de identitate, fraudă financiară sau spionaj corporativ.
- Spionaj și Supraveghere : RAT-urile personalizabile sunt adesea folosite în scopuri de spionaj, permițând infractorilor cibernetici să monitorizeze și să înregistreze activitățile unei victime, să captureze capturi de ecran, să înregistreze apăsările de taste și chiar să activeze camera web și microfonul victimei. Acest lucru poate genera încălcări ale confidențialității și colectarea de informații personale sau corporative sensibile.
- Acces persistent : RAT-urile sunt concepute pentru a menține accesul persistent la un sistem infectat, permițând infractorilor cibernetici să mențină controlul asupra dispozitivului compromis pentru o perioadă lungă de timp. Această persistență face ca victimele să detecteze și să elimine malware-ul, oferind atacatorilor un punct de sprijin permanent în sistem.
- Propagare și răspândire : RAT-urile personalizate pot fi programate să se răspândească în alte sisteme dintr-o rețea, ceea ce poate duce la compromisul mai multor dispozitive și chiar organizații întregi. Acest lucru poate duce la daune larg răspândite, încălcări ale datelor și întreruperi operaționale.
- Atacuri personalizate : infractorii cibernetici pot adapta RAT-urile pentru a executa vectori de atac specifici, ceea ce face dificil ca software-ul de securitate să le detecteze și să le prevină. Aceste atacuri pot fi concepute pentru a viza organizații, industrii sau persoane specifice, crescând șansele de succes.
- Evitarea detectării : RAT-urile personalizate încorporează adesea tehnici anti-detecție, inclusiv criptare, ofuscare și polimorfism, ceea ce face ca soluțiile de securitate să identifice și să atenueze amenințarea să fie dificilă. Acest lucru permite atacatorilor să rămână ascunși și să evite detectarea pentru perioade îndelungate.
- Implementarea ransomware : RAT-urile pot fi folosite ca mijloc de a furniza încărcături utile de ransomware, blocând victimele din propriile sisteme sau criptându-le datele. Infractorii cibernetici pot cere apoi o răscumpărare în schimbul cheii de decriptare, provocând întreruperi financiare și operaționale.
- Formarea rețelelor botnet : RAT-urile personalizabile pot fi folosite pentru a recruta dispozitive infectate într-o rețea botnet, care pot fi apoi valorificate în diverse scopuri rău intenționate, cum ar fi atacuri distribuite de refuzare a serviciului (DDoS), distribuirea spam-ului sau propagarea ulterioară a malware-ului.
Pe scurt, amenințările RAT care pot fi personalizate pentru a se potrivi cu obiectivele infractorilor cibernetici reprezintă un pericol cu mai multe fațete, deoarece permit o gamă largă de activități nesigure cu potențialul de daune financiare, operaționale și reputaționale semnificative pentru indivizi, organizații și chiar sectoare întregi. Pentru a combate aceste amenințări, sunt esențiale măsuri solide de securitate cibernetică, inclusiv actualizări regulate, instruire a angajaților și instrumente avansate de detectare și prevenire a amenințărilor.
