Multilicenčné zľavy
Threat Database Malware SuperBear RAT

SuperBear RAT

Do roku Mezo v roku Malware, Advanced Persistent Threat (APT), Remote Administration Tools
Preložiť do:
Slovenčina

Phishingová kampaň s pravdepodobným zameraním na organizácie občianskej spoločnosti v Južnej Kórei odhalila doteraz neznámu hrozbu RAT (Remote Access Trojan) s názvom SuperBear. Bezpečnostní špecialisti identifikovali túto hrozbu pri incidente s neidentifikovaným aktivistom, ktorý koncom augusta 2023 dostal sfalšovaný súbor LNK. E-mailová adresa podvodného odosielateľa napodobňovala člena cieľovej neziskovej organizácie.

Viacstupňová útočná reťaz prináša užitočné zaťaženie SuperBear

Po aktivácii spustí súbor LNK príkaz PowerShell na spustenie spustenia skriptu Visual Basic. Tento skript zase načítava užitočné zaťaženia nasledujúcej fázy z legitímnej, ale ohrozenej webovej stránky WordPress.

Toto užitočné zaťaženie pozostáva z dvoch komponentov: binárny súbor Autoit3.exe, identifikovaný ako „solmir.pdb“ a skript AutoIt známy ako „solmir_1.pdb“. Prvý slúži ako spúšťací mechanizmus pre druhý.

Skript AutoIt zase využíva techniku vstrekovania procesov nazývanú procesné vyhĺbenie. Táto technika zahŕňa vloženie zlého kódu do pozastaveného procesu. V tomto prípade vytvorí novú inštanciu Explorer.exe na uľahčenie vstrekovania predtým nevideného SuperBear RAT.

SuperBear RAT vykonáva invazívne akcie na kompromitovaných systémoch

SuperBear RAT vykonáva tri primárne útočné operácie: exfiltráciu procesných a systémových dát, vykonávanie príkazov shellu a spustenie knižnice DLL. V predvolenom nastavení server C2 inštruuje klientov, aby exfiltrovali a spracovali systémové údaje, čo je vlastnosť často spájaná s útočnými kampaňami zameranými na prieskumné úsilie.

Okrem toho môžu aktéri hrozieb nasmerovať RAT na vykonanie príkazov shellu alebo stiahnutie kompromitovanej knižnice DLL do postihnutého počítača. V prípadoch, keď DLL potrebuje názov súboru, pokúsi sa vygenerovať náhodný; ak je neúspešný, predvolene sa použije názov 'SuperBear.' Táto hrozba získala svoje meno vďaka tomuto správaniu, ktoré odrážalo jej dynamický prístup k generovaniu súborov.

Útok sa predbežne pripisuje predstaviteľovi severokórejského národného štátu známemu ako Kimsuky (tiež označovaný ako APT43 alebo prezývkami ako Emerald Sleet, Nickel Kimball a Velvet Chollima). Toto priradenie vychádza z podobnosti medzi vektorom počiatočného útoku a použitými príkazmi PowerShell.

Hrozby RAT by mohli byť prispôsobené tak, aby vyhovovali agende kyberzločincov

Hrozby RAT (Remote Access Trojan), ktoré možno prispôsobiť tak, aby vyhovovali agende kyberzločinca, predstavujú značné nebezpečenstvo vďaka svojej všestrannosti a prispôsobivosti. Tu sú niektoré kľúčové nebezpečenstvá spojené s takýmito hrozbami:

  • Neobmedzené diaľkové ovládanie : RAT poskytujú počítačovým zločincom úplný a neobmedzený prístup k infikovanému systému. Táto úroveň kontroly im umožňuje vykonávať širokú škálu škodlivých činností vrátane krádeže údajov, sledovania a manipulácie so systémom, a to všetko bez vedomia alebo súhlasu obete.
  • Krádež údajov : Kyberzločinci môžu používať RAT na zhromažďovanie citlivých informácií, ako sú osobné údaje, finančné záznamy, prihlasovacie údaje, duševné vlastníctvo a ďalšie. Zhromaždené údaje môžu byť predané na temnom webe alebo použité na krádež identity, finančné podvody alebo firemnú špionáž.
  • Špionáž a sledovanie : Na špionážne účely sa často používajú prispôsobiteľné RAT, ktoré umožňujú kyberzločincom monitorovať a zaznamenávať aktivity obete, zachytávať snímky obrazovky, zaznamenávať stlačenia klávesov a dokonca aktivovať webovú kameru a mikrofón obete. To môže viesť k porušovaniu súkromia a zhromažďovaniu citlivých osobných alebo firemných informácií.
  • Trvalý prístup : RAT sú navrhnuté tak, aby udržali trvalý prístup k infikovanému systému, čo umožňuje kyberzločincom udržať kontrolu nad napadnutým zariadením na dlhšiu dobu. Vďaka tejto vytrvalosti je pre obete náročné odhaliť a odstrániť malvér, čo útočníkom poskytuje nepretržitú oporu v systéme.
  • Propagácia a šírenie : Prispôsobené RAT môžu byť naprogramované tak, aby sa šírili do iných systémov v rámci siete, čo môže potenciálne viesť ku kompromisu viacerých zariadení a dokonca aj celých organizácií. To môže viesť k rozsiahlym škodám, narušeniam údajov a narušeniu prevádzky.
  • Prispôsobené útoky : Kyberzločinci môžu prispôsobiť RAT tak, aby vykonávali špecifické vektory útokov, čo sťažuje bezpečnostnému softvéru ich detekciu a prevenciu. Tieto útoky môžu byť navrhnuté tak, aby sa zamerali na konkrétne organizácie, odvetvia alebo jednotlivcov, čím sa zvyšujú šance na úspech.
  • Vyhýbanie sa detekcii : Prispôsobené RAT často obsahujú techniky antidetekcie, vrátane šifrovania, zahmlievania a polymorfizmu, čo sťažuje bezpečnostným riešeniam identifikáciu a zmiernenie hrozby. To umožňuje útočníkom zostať skrytý a vyhnúť sa odhaleniu na dlhší čas.
  • Nasadenie ransomvéru : RAT možno použiť ako prostriedok na doručovanie dát ransomvéru, uzamknutie obetí z ich vlastných systémov alebo na šifrovanie ich údajov. Kyberzločinci potom môžu požadovať výkupné výmenou za dešifrovací kľúč, čo spôsobí finančné a prevádzkové poruchy.
  • Vytváranie botnetov : Prispôsobiteľné RAT je možné použiť na nábor infikovaných zariadení do botnetu, ktorý potom možno využiť na rôzne škodlivé účely, ako sú útoky distribuovaného odmietnutia služby (DDoS), distribúcia spamu alebo ďalšie šírenie škodlivého softvéru.

Stručne povedané, hrozby RAT, ktoré možno prispôsobiť tak, aby vyhovovali cieľom kyberzločincov, predstavujú mnohostranné nebezpečenstvo, pretože umožňujú širokú škálu nebezpečných činností s potenciálom značnej finančnej, prevádzkovej a reputačnej škody jednotlivcov, organizácií a dokonca celých sektorov. Na boj proti týmto hrozbám sú nevyhnutné robustné opatrenia kybernetickej bezpečnosti vrátane pravidelných aktualizácií, školení zamestnancov a pokročilých nástrojov na detekciu a prevenciu hrozieb.

Trendy

Najviac videné

Načítava...