Zbritje me shumë licenca
Threat Database Malware SuperBear RAT

SuperBear RAT

Nga MezoMalware, Advanced Persistent Threat (APT), Remote Administration Tools
Përkthe në:
Shqip

Një fushatë phishing me një fokus të mundshëm në organizatat e shoqërisë civile të Koresë së Jugut ka zbuluar një kërcënim të panjohur më parë RAT (Remote Access Trojan) të quajtur SuperBear. Specialistët e sigurisë e kanë identifikuar këtë kërcënim në një incident që përfshin një aktivist të paidentifikuar, i cili mori një skedar të manipuluar LNK në fund të gushtit 2023. Adresa e emailit të dërguesit mashtrues imitoi një anëtar të organizatës jofitimprurëse të synuar.

Një zinxhir sulmi me shumë faza jep ngarkesën SuperBear

Pas aktivizimit, skedari LNK aktivizon një komandë PowerShell për të inicuar ekzekutimin e një skripti Visual Basic. Ky skript, nga ana tjetër, merr ngarkesat pasuese të fazës nga një uebsajt legjitim por i komprometuar i WordPress.

Kjo ngarkesë përbëhet nga dy komponentë: binarin Autoit3.exe, i identifikuar si 'solmir.pdb' dhe një skript AutoIt i njohur si 'solmir_1.pdb.' E para shërben si mekanizëm lëshues për këtë të fundit.

Skripti AutoIt, nga ana tjetër, përdor një teknikë të injektimit të procesit të quajtur zgavra e procesit. Kjo teknikë përfshin futjen e kodit të keq në një proces të pezulluar. Në këtë rast, ai krijon një shembull të ri të Explorer.exe për të lehtësuar injektimin e SuperBear RAT të paparë më parë.

SuperBear RAT kryen veprime pushtuese në sisteme të komprometuara

SuperBear RAT kryen tre operacione kryesore sulmi: nxjerrjen e të dhënave të procesit dhe sistemit, ekzekutimin e komandave të guaskës dhe ekzekutimin e një DLL. Si parazgjedhje, serveri C2 i udhëzon klientët të nxjerrin dhe përpunojnë të dhënat e sistemit, një karakteristikë e lidhur shpesh me fushatat sulmuese të fokusuara në përpjekjet e zbulimit.

Për më tepër, aktorët e kërcënimit mund ta drejtojnë RAT-in të ekzekutojë komandat e guaskës ose të shkarkojë një DLL të komprometuar në makinën e prekur. Në rastet kur DLL ka nevojë për një emër skedari, ai do të përpiqet të gjenerojë një të rastësishëm; nëse është i pasuksesshëm, ai vendoset në emrin 'SuperBear'. Ky kërcënim mori emrin e tij nga kjo sjellje, duke reflektuar qasjen e tij dinamike të gjenerimit të emrit të skedarit.

Sulmi i atribuohet paraprakisht një aktori të shtetit-komb koreano-verior të njohur si Kimsuky (i referuar edhe si APT43 ose nga pseudonimet si Emerald Sleet, Nickel Kimball dhe Velvet Chollima). Ky atribut është nxjerrë nga ngjashmëria midis vektorit të sulmit fillestar dhe komandave të përdorura PowerShell.

Kërcënimet RAT mund të personalizohen për t'iu përshtatur axhendës së kriminelëve kibernetikë

Kërcënimet RAT (Remote Access Trojan) që mund të personalizohen për t'iu përshtatur axhendës së një krimineli kibernetik paraqesin rreziqe të konsiderueshme për shkak të natyrës së tyre të gjithanshme dhe të adaptueshme. Këtu janë disa rreziqe kryesore që lidhen me kërcënime të tilla:

  • Telekomandë e pakufizuar : RAT-të u ofrojnë kriminelëve kibernetikë akses të plotë dhe të pakufizuar në një sistem të infektuar. Ky nivel kontrolli i lejon ata të kryejnë një gamë të gjerë aktivitetesh të dëmshme, duke përfshirë vjedhjen e të dhënave, mbikëqyrjen dhe manipulimin e sistemit, të gjitha pa dijeninë ose pëlqimin e viktimës.
  • Vjedhja e të dhënave : Kriminelët kibernetikë mund të përdorin RAT për të mbledhur informacione të ndjeshme siç janë të dhënat personale, të dhënat financiare, kredencialet e hyrjes, pronësia intelektuale dhe më shumë. Të dhënat e mbledhura mund të shiten në Dark Web ose të përdoren për vjedhje identiteti, mashtrim financiar ose spiunazh korporativ.
  • Spiunazhi dhe Mbikëqyrja : RAT-të e personalizueshëm përdoren shpesh për qëllime spiunazhi, duke u mundësuar kriminelëve kibernetikë të monitorojnë dhe regjistrojnë aktivitetet e viktimës, të kapin pamje nga ekrani, të regjistrojnë goditjet e tastave dhe madje të aktivizojnë kamerën e internetit dhe mikrofonin e viktimës. Kjo mund të gjenerojë shkelje të privatësisë dhe mbledhjen e informacionit të ndjeshëm personal ose të korporatës.
  • Qasje e Përhershme : RAT-të janë krijuar për të mbajtur akses të vazhdueshëm në një sistem të infektuar, duke lejuar kriminelët kibernetikë të mbajnë kontrollin mbi pajisjen e komprometuar për një periudhë të gjatë. Kjo këmbëngulje e bën sfidues për viktimat zbulimin dhe heqjen e malware, duke u siguruar sulmuesve një bazë të vazhdueshme në sistem.
  • Përhapja dhe përhapja : RAT-të e personalizuara mund të programohen për t'u përhapur në sisteme të tjera brenda një rrjeti, duke çuar potencialisht në kompromisin e pajisjeve të shumta dhe madje edhe të organizatave të tëra. Kjo mund të rezultojë në dëme të përhapura, shkelje të të dhënave dhe ndërprerje operacionale.
  • Sulmet e personalizuara : Kriminelët kibernetikë mund të përshtatin RAT për të ekzekutuar vektorë të veçantë sulmi, duke e bërë të vështirë për softuerin e sigurisë zbulimin dhe parandalimin e tyre. Këto sulme mund të dizajnohen për të synuar organizata, industri ose individë të veçantë, duke rritur shanset për sukses.
  • Zbulimi i shmangies : RAT-të e personalizuar shpesh përfshijnë teknika kundër zbulimit, duke përfshirë enkriptimin, errësimin dhe polimorfizmin, duke e bërë sfiduese për zgjidhjet e sigurisë për të identifikuar dhe zbutur kërcënimin. Kjo i lejon sulmuesit të qëndrojnë të fshehur dhe të shmangin zbulimin për periudha të gjata.
  • Vendosja e Ransomware : RAT-të mund të përdoren si një mjet për të ofruar ngarkesa të dobishme për ransomware, duke mbyllur viktimat nga sistemet e tyre ose duke enkriptuar të dhënat e tyre. Kriminelët kibernetikë më pas mund të kërkojnë një shpërblim në këmbim të çelësit të deshifrimit, duke shkaktuar ndërprerje financiare dhe operacionale.
  • Formimi i Botnet-it : RAT të personalizueshëm mund të përdoren për të rekrutuar pajisje të infektuara në një botnet, i cili më pas mund të përdoret për qëllime të ndryshme keqdashëse, të tilla si sulmet e shpërndara të mohimit të shërbimit (DDoS), shpërndarja e spamit ose përhapja e mëtejshme e malware.

Në përmbledhje, kërcënimet RAT që mund të personalizohen për t'iu përshtatur objektivave të kriminelëve kibernetikë paraqesin një rrezik të shumëanshëm, pasi mundësojnë një gamë të gjerë aktivitetesh të pasigurta me potencial për dëmtim të konsiderueshëm financiar, operacional dhe reputacion për individë, organizata, madje edhe sektorë të tërë. Për të luftuar këto kërcënime, masa të forta të sigurisë kibernetike, duke përfshirë përditësimet e rregullta, trajnimin e punonjësve dhe mjetet e avancuara të zbulimit dhe parandalimit të kërcënimeve, janë thelbësore.

Në trend

Më e shikuara

Po ngarkohet...