СуперМедведь КРЫСА

Фишинговая кампания, вероятно, ориентированная на южнокорейские организации гражданского общества, выявила ранее неизвестную угрозу RAT (троян удаленного доступа) под названием SuperBear. Специалисты по безопасности выявили эту угрозу в инциденте с участием неопознанного активиста, который получил подделанный файл LNK в конце августа 2023 года. Адрес электронной почты мошеннического отправителя имитировал члена целевой некоммерческой организации.

Многоэтапная цепочка атак доставляет полезную нагрузку SuperBear

После активации файл LNK запускает команду PowerShell, чтобы инициировать выполнение сценария Visual Basic. Этот скрипт, в свою очередь, извлекает полезную нагрузку последующего этапа с законного, но скомпрометированного веб-сайта WordPress.

Эта полезная нагрузка состоит из двух компонентов: двоичного файла Autoit3.exe, известного как «solmir.pdb», и сценария AutoIt, известного как «solmir_1.pdb». Первое служит пусковым механизмом для второго.

Сценарий AutoIt, в свою очередь, использует технику внедрения процесса, называемую выемкой процесса. Этот метод предполагает вставку плохого кода в приостановленный процесс. В этом случае он создает новый экземпляр Explorer.exe, чтобы облегчить внедрение ранее невиданного SuperBear RAT.

SuperBear RAT выполняет инвазивные действия на взломанных системах

SuperBear RAT выполняет три основные операции атаки: фильтрацию данных процесса и системы, выполнение команд оболочки и запуск DLL. По умолчанию сервер C2 инструктирует клиентов извлечь и обработать системные данные — характеристика, часто связанная с кампаниями по атаке, ориентированными на разведку.

Кроме того, злоумышленники могут указать RAT выполнить команды оболочки или загрузить скомпрометированную DLL на пораженный компьютер. В тех случаях, когда DLL требуется имя файла, она попытается сгенерировать случайное имя; в случае неудачи по умолчанию используется имя «SuperBear». Эта угроза получила свое название из-за такого поведения, отражающего подход динамического создания имен файлов.

Нападение предположительно приписывается северокорейскому национальному государству, известному как Кимсуки (также называемому APT43 или такими псевдонимами, как Изумрудный Слит, Никель Кимбалл и Вельвет Чоллима). Эта атрибуция основана на сходстве между первоначальным вектором атаки и используемыми командами PowerShell.

RAT-угрозы могут быть адаптированы к повестке дня киберпреступников

Угрозы RAT (трояны удаленного доступа), которые можно настроить в соответствии с целями киберпреступников, представляют значительную опасность из-за своей универсальной и адаптируемой природы. Вот некоторые ключевые опасности, связанные с такими угрозами:

• Неограниченное удаленное управление : RAT предоставляют киберпреступникам полный и неограниченный доступ к зараженной системе. Такой уровень контроля позволяет им осуществлять широкий спектр вредоносных действий, включая кражу данных, наблюдение и манипулирование системой, и все это без ведома или согласия жертвы.
• Кража данных . Киберпреступники могут использовать RAT для сбора конфиденциальной информации, такой как личные данные, финансовые отчеты, учетные данные для входа, интеллектуальная собственность и многое другое. Собранные данные могут быть проданы в даркнете или использованы для кражи личных данных, финансового мошенничества или корпоративного шпионажа.
• Шпионаж и наблюдение . Настраиваемые RAT часто используются в шпионских целях, позволяя киберпреступникам отслеживать и записывать действия жертвы, делать снимки экрана, записывать нажатия клавиш и даже активировать веб-камеру и микрофон жертвы. Это может привести к нарушению конфиденциальности и сбору конфиденциальной личной или корпоративной информации.
• Постоянный доступ : RAT предназначены для поддержания постоянного доступа к зараженной системе, что позволяет киберпреступникам сохранять контроль над скомпрометированным устройством в течение длительного периода. Такая настойчивость затрудняет обнаружение и удаление вредоносного ПО жертвам, предоставляя злоумышленникам постоянную точку опоры в системе.
• Распространение и распространение . Настраиваемые RAT можно запрограммировать для распространения на другие системы в сети, что потенциально может привести к компрометации нескольких устройств и даже целых организаций. Это может привести к масштабному ущербу, утечкам данных и сбоям в работе.
• Индивидуальные атаки . Киберпреступники могут адаптировать RAT для выполнения определенных векторов атак, что затрудняет их обнаружение и предотвращение программами обеспечения безопасности. Эти атаки могут быть нацелены на конкретные организации, отрасли или отдельных лиц, что увеличивает шансы на успех.
• Уклонение от обнаружения . Настраиваемые RAT часто включают в себя методы защиты от обнаружения, включая шифрование, обфускацию и полиморфизм, что затрудняет выявление и смягчение угроз решениями безопасности. Это позволяет злоумышленникам оставаться незамеченными и избегать обнаружения в течение длительного периода времени.
• Развертывание программ-вымогателей . RAT можно использовать в качестве средства для доставки полезных данных программ-вымогателей, блокируя доступ жертв к их собственным системам или шифруя их данные. Киберпреступники могут затем потребовать выкуп в обмен на ключ дешифрования, что приведет к финансовым и операционным сбоям.
• Формирование ботнета . Настраиваемые RAT можно использовать для привлечения зараженных устройств в ботнет, который затем можно использовать для различных вредоносных целей, таких как распределенные атаки типа «отказ в обслуживании» (DDoS), распространение спама или дальнейшее распространение вредоносного ПО.

Подводя итог, RAT-угрозы, которые можно настроить в соответствии с целями киберпреступников, представляют собой многогранную опасность, поскольку они позволяют осуществлять широкий спектр небезопасных действий, потенциально способных нанести значительный финансовый, операционный и репутационный ущерб отдельным лицам, организациям и даже целым секторам. Для борьбы с этими угрозами необходимы надежные меры кибербезопасности, включая регулярные обновления, обучение сотрудников и передовые инструменты обнаружения и предотвращения угроз.