SuperBear RAT

En nätfiskekampanj med troligt fokus på sydkoreanska civilsamhällesorganisationer har avslöjat ett tidigare okänt RAT (Remote Access Trojan)-hot vid namn SuperBear. Säkerhetsspecialister har identifierat detta hot i en incident som involverade en oidentifierad aktivist som mottog en manipulerad LNK-fil i slutet av augusti 2023. Den vilseledande avsändarens e-postadress efterliknade en medlem av den riktade ideella organisationen.

En attackkedja i flera steg levererar SuperBears nyttolast

Vid aktivering utlöser LNK-filen ett PowerShell-kommando för att initiera exekvering av ett Visual Basic-skript. Detta skript hämtar i sin tur de efterföljande stegens nyttolaster från en legitim men även komprometterad WordPress-webbplats.

Denna nyttolast består av två komponenter: Autoit3.exe-binären, identifierad som 'solmir.pdb', och ett AutoIt-skript som kallas 'solmir_1.pdb'. Den förra fungerar som startmekanism för den senare.

AutoIt-skriptet använder i sin tur en processinjektionsteknik som kallas process hollowing. Denna teknik involverar att infoga dålig kod i en avstängd process. I det här fallet skapar den en ny instans av Explorer.exe för att underlätta injiceringen av den tidigare osynliga SuperBear RAT.

SuperBear RAT utför invasiva åtgärder på komprometterade system

SuperBear RAT utför tre primära attackoperationer: exfiltrering av process- och systemdata, exekvering av skalkommandon och kör en DLL. Som standard instruerar C2-servern klienter att exfiltrera och bearbeta systemdata, en egenskap som ofta förknippas med attackkampanjer fokuserade på spaningsinsatser.

Dessutom kan hotaktörer styra RAT att utföra skalkommandon eller ladda ner en komprometterad DLL till den drabbade maskinen. I de fall där DLL-filen behöver ett filnamn, kommer den att försöka generera ett slumpmässigt; om det misslyckas, används som standard namnet 'SuperBear'. Detta hot fick sitt namn från detta beteende, vilket återspeglar dess dynamiska filnamnsgenerering.

Attacken tillskrivs preliminärt en nordkoreansk nationalstatsaktör känd som Kimsuky (även kallad APT43 eller av alias som Emerald Sleet, Nickel Kimball och Velvet Chollima). Denna attribution kommer från likheten mellan den initiala attackvektorn och PowerShell-kommandona som används.

RAT-hot skulle kunna anpassas för att passa cyberkriminella agendan

RAT-hot (Remote Access Trojan) som kan anpassas för att passa en cyberkriminells agenda utgör betydande faror på grund av deras mångsidiga och anpassningsbara natur. Här är några viktiga faror förknippade med sådana hot:

• Obegränsad fjärrkontroll : RAT:er ger cyberkriminella fullständig och obegränsad tillgång till ett infekterat system. Denna kontrollnivå tillåter dem att utföra ett brett utbud av skadliga aktiviteter, inklusive datastöld, övervakning och systemmanipulation, allt utan offrets vetskap eller samtycke.
• Datastöld : Cyberbrottslingar kan använda RAT för att samla in känslig information som personliga uppgifter, ekonomiska register, inloggningsuppgifter, immateriella rättigheter och mer. Den insamlade informationen kan säljas på Dark Web eller användas för identitetsstöld, ekonomiskt bedrägeri eller företagsspionage.
• Spionage och övervakning : Anpassningsbara RAT:er används ofta för spionage, vilket gör det möjligt för cyberbrottslingar att övervaka och spela in ett offers aktiviteter, ta skärmdumpar, spela in tangenttryckningar och till och med aktivera offrets webbkamera och mikrofon. Detta kan generera integritetsintrång och insamling av känslig personlig information eller företagsinformation.
• Beständig åtkomst : RAT:er är utformade för att bibehålla beständig åtkomst till ett infekterat system, vilket gör att cyberbrottslingar kan behålla kontrollen över den komprometterade enheten under en längre period. Denna uthållighet gör det utmanande för offer att upptäcka och ta bort skadlig programvara, vilket ger angripare ett fortlöpande fotfäste i systemet.
• Spridning och spridning : Anpassade RAT:er kan programmeras för att spridas till andra system inom ett nätverk, vilket potentiellt kan leda till kompromiss mellan flera enheter och till och med hela organisationer. Detta kan resultera i omfattande skador, dataintrång och driftstörningar.
• Anpassade attacker : Cyberbrottslingar kan skräddarsy RAT för att utföra specifika attackvektorer, vilket gör det svårt för säkerhetsprogramvara att upptäcka och förhindra dem. Dessa attacker kan utformas för att rikta in sig på specifika organisationer, branscher eller individer, vilket ökar chanserna att lyckas.
• Undvikande upptäckt : Anpassade RAT:er innehåller ofta antidetekteringstekniker, inklusive kryptering, fördunkling och polymorfism, vilket gör det utmanande för säkerhetslösningar att identifiera och mildra hotet. Detta gör att angripare kan förbli dolda och undvika upptäckt under längre perioder.
• Utplacering av ransomware : RAT:er kan användas som ett sätt att leverera ransomware-nyttolaster, låsa ut offer från sina egna system eller kryptera deras data. Cyberbrottslingar kan då kräva en lösensumma i utbyte mot dekrypteringsnyckeln, vilket orsakar ekonomiska och operativa störningar.
• Botnätbildning : Anpassningsbara RAT:er kan användas för att rekrytera infekterade enheter till ett botnät, som sedan kan utnyttjas för olika skadliga syften, såsom distribuerade denial-of-service-attacker (DDoS), distribution av spam eller vidare spridning av skadlig programvara.

Sammanfattningsvis utgör RAT-hot som kan anpassas för att passa cyberbrottslingars mål en mångfacetterad fara, eftersom de möjliggör ett brett utbud av osäkra aktiviteter med potential för betydande ekonomisk, operativ och anseende skada på individer, organisationer och till och med hela sektorer. För att bekämpa dessa hot är robusta cybersäkerhetsåtgärder, inklusive regelbundna uppdateringar, utbildning av anställda och avancerade verktyg för upptäckt och förebyggande av hot, avgörande.