СуперБеар РАТ

Пецарска кампања са вероватним фокусом на јужнокорејске организације цивилног друштва открила је раније непознату претњу РАТ (Ремоте Аццесс Тројан) под називом СуперБеар. Стручњаци за безбедност су идентификовали ову претњу у инциденту који је укључивао неидентификованог активисту који је примио неовлашћени ЛНК фајл крајем августа 2023. Имејл адреса лажног пошиљаоца је опонашала члана циљане непрофитне организације.

Вишестепени нападни ланац испоручује носивост СуперБеара

Након активације, ЛНК датотека покреће ПоверСхелл команду за покретање извршавања Висуал Басиц скрипте. Ова скрипта, заузврат, преузима корисне податке за наредну фазу са легитимне, али компромитоване веб локације ВордПресс.

Ово корисно оптерећење се састоји од две компоненте: бинарне датотеке Аутоит3.еке, идентификоване као 'солмир.пдб', и АутоИт скрипте познате као 'солмир_1.пдб'. Први служи као механизам за лансирање за други.

АутоИт скрипта, заузврат, користи технику убризгавања процеса која се зове процес шупље. Ова техника укључује уметање лошег кода у суспендовани процес. У овом случају, креира нову инстанцу Екплорер.еке да би се олакшало убризгавање претходно невидљивог СуперБеар РАТ-а.

СуперБеар РАТ врши инвазивне акције на компромитованим системима

СуперБеар РАТ спроводи три примарне операције напада: ексфилтрирање процесних и системских података, извршавање команди љуске и покретање ДЛЛ-а. Подразумевано, Ц2 сервер упућује клијенте да ексфилтрирају и обрађују системске податке, што је карактеристика која се често повезује са кампањама напада усмереним на извиђачке напоре.

Поред тога, актери претњи могу усмерити РАТ да изврши команде љуске или преузме компромитовани ДЛЛ на погођену машину. У случајевима када је ДЛЛ-у потребно име датотеке, покушаће да генерише насумично; ако не успе, подразумевано је име „СуперБеар“. Ова претња је добила име по оваквом понашању, одражавајући њен динамички приступ генерисању имена датотека.

Напад се условно приписује актеру севернокорејске националне државе познатом као Кимсуки (који се такође назива АПТ43 или псеудонимима као што су Емералд Слеет, Ницкел Кимбалл и Велвет Цхоллима). Ова атрибуција је изведена из сличности између почетног вектора напада и коришћених ПоверСхелл команди.

РАТ претње би могле да се прилагоде да одговарају програму сајбер криминалаца

РАТ (Ремоте Аццесс Тројан) претње које се могу прилагодити тако да одговарају програму сајбер криминалца представљају значајне опасности због своје свестране и прилагодљиве природе. Ево неколико кључних опасности повезаних са таквим претњама:

• Неограничена даљинска контрола : РАТ-ови пружају сајбер криминалцима потпун и неограничен приступ зараженом систему. Овај ниво контроле им омогућава да спроводе широк спектар штетних активности, укључујући крађу података, надзор и манипулацију системом, све без знања или пристанка жртве.
• Крађа података : сајбер криминалци могу да користе РАТ-ове за прикупљање осетљивих информација као што су лични подаци, финансијски подаци, акредитиви за пријаву, интелектуална својина и још много тога. Прикупљени подаци се могу продати на Дарк Веб-у или користити за крађу идентитета, финансијске преваре или корпоративну шпијунажу.
• Шпијунажа и надзор : прилагодљиви РАТ-ови се често користе у шпијунске сврхе, омогућавајући сајбер криминалцима да прате и снимају активности жртве, праве снимке екрана, снимају притиске на тастере, па чак и активирају жртвину веб камеру и микрофон. Ово може довести до кршења приватности и прикупљања осетљивих личних или корпоративних информација.
• Трајни приступ : РАТ-ови су дизајнирани да одржавају упоран приступ зараженом систему, омогућавајући сајбер криминалцима да задрже контролу над компромитованим уређајем током дужег периода. Ова упорност чини изазовом жртвама да открију и уклоне малвер, пружајући нападачима стално упориште у систему.
• Ширење и ширење : Прилагођени РАТ-ови се могу програмирати да се шире на друге системе унутар мреже, што потенцијално доводи до компромитовања више уређаја, па чак и читавих организација. То може довести до широко распрострањене штете, кршења података и оперативних поремећаја.
• Прилагођени напади : сајбер криминалци могу да прилагоде РАТ-ове да извршавају специфичне векторе напада, што отежава безбедносном софтверу да их открије и спречи. Ови напади могу бити дизајнирани да циљају одређене организације, индустрије или појединце, повећавајући шансе за успех.
• Избегавање откривања : Прилагођени РАТ-ови често укључују технике против откривања, укључујући шифровање, замагљивање и полиморфизам, што представља изазов за безбедносна решења да идентификују и ублаже претњу. Ово омогућава нападачима да остану скривени и избегавају откривање током дужег периода.
• Примена рансомваре -а: РАТ-ови се могу користити као средство за испоруку рансомваре-а, закључавање жртава из њихових сопствених система или шифровање њихових података. Сајбер криминалци тада могу да захтевају откуп у замену за кључ за дешифровање, изазивајући финансијске и оперативне поремећаје.
• Формирање ботнета : Прилагодљиви РАТ-ови се могу користити за регрутовање заражених уређаја у ботнет, који се затим може искористити у различите злонамерне сврхе, као што су дистрибуирани напади ускраћивања услуге (ДДоС), дистрибуција нежељене поште или даље ширење малвера.

Укратко, РАТ претње које се могу прилагодити тако да одговарају циљевима сајбер криминалаца представљају вишеструку опасност, јер омогућавају широк спектар небезбедних активности са потенцијалом за значајну финансијску, оперативну и репутацијску штету појединцима, организацијама, па чак и читавим секторима. За борбу против ових претњи, неопходне су снажне мере сајбер безбедности, укључујући редовна ажурирања, обуку запослених и напредне алате за откривање и превенцију претњи.