SuperBear RAT
Kampanja z lažnim predstavljanjem, ki je verjetno osredotočena na južnokorejske organizacije civilne družbe, je razkrila doslej neznano grožnjo RAT (trojanec za oddaljeni dostop), imenovano SuperBear. Varnostni strokovnjaki so odkrili to grožnjo v incidentu, v katerem je bil vpleten neznani aktivist, ki je proti koncu avgusta 2023 prejel spremenjeno datoteko LNK. E-poštni naslov zavajajočega pošiljatelja je posnemal člana ciljne neprofitne organizacije.
Kazalo
Večstopenjska veriga napadov zagotavlja koristno obremenitev SuperBear
Po aktivaciji datoteka LNK sproži ukaz PowerShell za začetek izvajanja skripta Visual Basic. Ta skript nato pridobi koristne obremenitve naslednje stopnje z zakonitega, vendar ogroženega spletnega mesta WordPress.
To koristno vsebino sestavljata dve komponenti: dvojiška datoteka Autoit3.exe, označena kot »solmir.pdb«, in skript AutoIt, znan kot »solmir_1.pdb«. Prvi služi kot zagonski mehanizem za drugega.
Skript AutoIt pa uporablja tehniko vbrizgavanja procesa, imenovano proces hollowing. Ta tehnika vključuje vstavljanje slabe kode v začasno ustavljen proces. V tem primeru ustvari nov primerek Explorer.exe, da olajša vbrizgavanje prej nevidnega SuperBear RAT.
SuperBear RAT izvaja invazivna dejanja na ogroženih sistemih
SuperBear RAT izvaja tri primarne operacije napada: izločanje procesnih in sistemskih podatkov, izvajanje ukazov lupine in izvajanje DLL. Strežnik C2 privzeto naroči odjemalcem, naj izločijo in obdelajo sistemske podatke, kar je značilnost, ki je pogosto povezana z napadalnimi kampanjami, osredotočenimi na izvidniška prizadevanja.
Poleg tega lahko akterji groženj usmerijo RAT, da izvede ukaze lupine ali prenese ogrožen DLL na prizadeti računalnik. V primerih, ko DLL potrebuje ime datoteke, bo poskušal ustvariti naključno ime; če je neuspešen, je privzeto ime 'SuperBear'. Ta grožnja si je prislužila ime zaradi tega vedenja, kar odraža njen pristop dinamičnega generiranja imen datotek.
Napad je pogojno pripisan severnokorejskemu nacionalnemu akterju, znanemu kot Kimsuky (imenovan tudi APT43 ali vzdevki, kot so Emerald Sleet, Nickel Kimball in Velvet Chollima). Ta dodelitev izhaja iz podobnosti med začetnim vektorjem napada in uporabljenimi ukazi PowerShell.
Grožnje RAT bi lahko prilagodili tako, da ustrezajo agendi kibernetskih kriminalcev
Grožnje RAT (trojanski konj za oddaljeni dostop), ki jih je mogoče prilagoditi, da ustrezajo načrtom kibernetskih kriminalcev, predstavljajo veliko nevarnost zaradi svoje vsestranske in prilagodljive narave. Tukaj je nekaj ključnih nevarnosti, povezanih s takimi grožnjami:
- Neomejen daljinski nadzor : RATs kibernetskim kriminalcem omogočajo popoln in neomejen dostop do okuženega sistema. Ta raven nadzora jim omogoča izvajanje širokega nabora škodljivih dejavnosti, vključno s krajo podatkov, nadzorom in manipulacijo sistema, vse brez vednosti ali soglasja žrtve.
- Kraja podatkov : kibernetski kriminalci lahko uporabljajo RAT za zbiranje občutljivih informacij, kot so osebni podatki, finančni zapisi, poverilnice za prijavo, intelektualna lastnina in več. Zbrane podatke je mogoče prodati na temnem spletu ali uporabiti za krajo identitete, finančne goljufije ali korporativno vohunjenje.
- Vohunjenje in nadzor : Prilagodljivi RAT-ji se pogosto uporabljajo za namene vohunjenja, saj kiberkriminalcem omogočajo spremljanje in snemanje dejavnosti žrtve, zajemanje posnetkov zaslona, snemanje pritiskov na tipke in celo aktiviranje žrtvine spletne kamere in mikrofona. To lahko povzroči kršitve zasebnosti in zbiranje občutljivih osebnih ali poslovnih podatkov.
- Trajni dostop : RATs so zasnovani za vzdrževanje trajnega dostopa do okuženega sistema, ki kibernetskim kriminalcem omogoča, da ohranijo nadzor nad ogroženo napravo za daljše obdobje. Zaradi te vztrajnosti je za žrtve izziv odkriti in odstraniti zlonamerno programsko opremo, kar napadalcem zagotavlja stalno oporo v sistemu.
- Širjenje in širjenje : Prilagojene RAT-je je mogoče programirati za širjenje na druge sisteme v omrežju, kar lahko povzroči ogrožanje več naprav in celo celotnih organizacij. To lahko povzroči obsežno škodo, kršitve podatkov in motnje delovanja.
- Prilagojeni napadi : Kibernetski kriminalci lahko prilagodijo RAT za izvajanje določenih vektorjev napadov, kar varnostni programski opremi oteži njihovo odkrivanje in preprečevanje. Ti napadi so lahko zasnovani tako, da ciljajo na določene organizacije, industrije ali posameznike, kar poveča možnosti za uspeh.
- Izmikanje zaznavanju : Prilagojeni RAT-ji pogosto vključujejo tehnike proti zaznavanju, vključno s šifriranjem, zakrivanjem in polimorfizmom, zaradi česar je za varnostne rešitve izziv prepoznati in ublažiti grožnjo. To napadalcem omogoča, da ostanejo skriti in se dlje časa izognejo odkritju.
- Namestitev izsiljevalske programske opreme : RATs se lahko uporabljajo kot sredstvo za dostavo izsiljevalske programske opreme, zaklepanje žrtev iz njihovih sistemov ali šifriranje njihovih podatkov. Kibernetski kriminalci lahko nato zahtevajo odkupnino v zameno za ključ za dešifriranje, kar povzroči finančne in operativne motnje.
- Oblikovanje botneta : Prilagodljive RAT-je je mogoče uporabiti za pridobitev okuženih naprav v botnetu, ki jih je nato mogoče uporabiti za različne zlonamerne namene, kot so porazdeljeni napadi zavrnitve storitve (DDoS), distribucija neželene pošte ali nadaljnje širjenje zlonamerne programske opreme.
Če povzamemo, grožnje RAT, ki jih je mogoče prilagoditi ciljem kibernetskih kriminalcev, predstavljajo večplastno nevarnost, saj omogočajo široko paleto nevarnih dejavnosti s potencialom za znatno finančno, operativno in ugledno škodo posameznikom, organizacijam in celo celotnim sektorjem. Za boj proti tem grožnjam so bistveni robustni ukrepi kibernetske varnosti, vključno z rednimi posodobitvami, usposabljanjem zaposlenih ter naprednimi orodji za odkrivanje in preprečevanje groženj.
