ซุปเปอร์แบร์ หนู
แคมเปญฟิชชิ่งที่น่าจะมุ่งเน้นไปที่องค์กรภาคประชาสังคมของเกาหลีใต้ได้เปิดเผยภัยคุกคาม RAT (Remote Access Trojan) ที่ไม่รู้จักก่อนหน้านี้ชื่อ SuperBear ผู้เชี่ยวชาญด้านความปลอดภัยได้ระบุภัยคุกคามนี้ในเหตุการณ์ที่เกี่ยวข้องกับนักเคลื่อนไหวที่ไม่ปรากฏชื่อซึ่งได้รับไฟล์ LNK ที่ถูกดัดแปลงในช่วงปลายเดือนสิงหาคม 2023 ที่อยู่อีเมลของผู้ส่งที่หลอกลวงเลียนแบบสมาชิกขององค์กรที่ไม่แสวงหาผลกำไรที่เป็นเป้าหมาย
สารบัญ
ห่วงโซ่การโจมตีแบบหลายขั้นตอนมอบน้ำหนักบรรทุก SuperBear
เมื่อเปิดใช้งาน ไฟล์ LNK จะทริกเกอร์คำสั่ง PowerShell เพื่อเริ่มต้นการทำงานของสคริปต์ Visual Basic ในทางกลับกัน สคริปต์นี้จะดึงข้อมูลเพย์โหลดในขั้นตอนต่อมาจากเว็บไซต์ WordPress ที่ถูกกฎหมายแต่ยังถูกบุกรุก
เพย์โหลดนี้ประกอบด้วยสององค์ประกอบ: ไบนารี Autoit3.exe ที่ระบุเป็น 'solmir.pdb' และสคริปต์ AutoIt ที่เรียกว่า 'solmir_1.pdb' แบบแรกทำหน้าที่เป็นกลไกการเปิดตัวสำหรับแบบหลัง
ในทางกลับกัน สคริปต์ AutoIt จะใช้เทคนิคการฉีดกระบวนการที่เรียกว่ากระบวนการกลวง เทคนิคนี้เกี่ยวข้องกับการแทรกโค้ดที่ไม่ถูกต้องลงในกระบวนการที่ถูกระงับ ในกรณีนี้ มันจะสร้างอินสแตนซ์ใหม่ของ Explorer.exe เพื่ออำนวยความสะดวกในการแทรก SuperBear RAT ที่มองไม่เห็นก่อนหน้านี้
SuperBear RAT ดำเนินการรุกรานบนระบบที่ถูกบุกรุก
SuperBear RAT ดำเนินการโจมตีหลักสามประการ ได้แก่ การกรองกระบวนการและข้อมูลระบบ การดำเนินการคำสั่งเชลล์ และการเรียกใช้ DLL ตามค่าเริ่มต้น เซิร์ฟเวอร์ C2 จะสั่งให้ไคลเอ็นต์ถอนและประมวลผลข้อมูลระบบ ซึ่งเป็นลักษณะเฉพาะที่มักเกี่ยวข้องกับแคมเปญการโจมตีที่เน้นไปที่ความพยายามในการลาดตระเวน
นอกจากนี้ ผู้คุกคามยังสามารถสั่งให้ RAT รันคำสั่งเชลล์หรือดาวน์โหลด DLL ที่ถูกบุกรุกลงในเครื่องที่ได้รับผลกระทบ ในกรณีที่ DLL ต้องการชื่อไฟล์ DLL จะพยายามสร้างชื่อไฟล์แบบสุ่ม หากไม่สำเร็จ ระบบจะใช้ชื่อ 'SuperBear' เป็นค่าเริ่มต้น ภัยคุกคามนี้ได้ชื่อมาจากพฤติกรรมนี้ ซึ่งสะท้อนถึงแนวทางการสร้างชื่อไฟล์แบบไดนามิก
การโจมตีดังกล่าวมีสาเหตุเบื้องต้นมาจากนักแสดงรัฐชาติเกาหลีเหนือที่รู้จักกันในชื่อ Kimsuky (หรือเรียกอีกอย่างว่า APT43 หรือโดยใช้นามแฝง เช่น Emerald Sleet, Nickel Kimball และ Velvet Chollima) การระบุแหล่งที่มานี้มาจากความคล้ายคลึงระหว่างเวกเตอร์การโจมตีเริ่มต้นและคำสั่ง PowerShell ที่ใช้
ภัยคุกคามของ RAT สามารถปรับแต่งให้เหมาะสมกับวาระของอาชญากรไซเบอร์ได้
ภัยคุกคาม RAT (โทรจันการเข้าถึงระยะไกล) ที่สามารถปรับแต่งให้เหมาะกับวาระของอาชญากรไซเบอร์ก่อให้เกิดอันตรายที่สำคัญเนื่องจากมีลักษณะที่หลากหลายและปรับเปลี่ยนได้ ต่อไปนี้คืออันตรายหลักบางประการที่เกี่ยวข้องกับภัยคุกคามดังกล่าว:
- การควบคุมระยะไกลที่ไม่จำกัด : RAT ช่วยให้อาชญากรไซเบอร์สามารถเข้าถึงระบบที่ติดไวรัสได้อย่างสมบูรณ์และไม่จำกัด การควบคุมระดับนี้ช่วยให้พวกเขาสามารถดำเนินกิจกรรมที่เป็นอันตรายได้หลากหลาย รวมถึงการขโมยข้อมูล การเฝ้าระวัง และการจัดการระบบ ทั้งหมดนี้โดยที่เหยื่อไม่ทราบหรือยินยอม
- การโจรกรรมข้อมูล : อาชญากรไซเบอร์สามารถใช้ RAT เพื่อรวบรวมข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลส่วนบุคคล บันทึกทางการเงิน ข้อมูลการเข้าสู่ระบบ ทรัพย์สินทางปัญญา และอื่นๆ ข้อมูลที่รวบรวมสามารถขายบน Dark Web หรือใช้เพื่อขโมยข้อมูลประจำตัว การฉ้อโกงทางการเงิน หรือการจารกรรมขององค์กร
- การจารกรรมและการเฝ้าระวัง : RAT ที่ปรับแต่งได้มักใช้เพื่อวัตถุประสงค์ในการจารกรรม ช่วยให้อาชญากรไซเบอร์สามารถตรวจสอบและบันทึกกิจกรรมของเหยื่อ จับภาพหน้าจอ บันทึกการกดแป้นพิมพ์ และแม้แต่เปิดใช้งานเว็บแคมและไมโครโฟนของเหยื่อ สิ่งนี้อาจทำให้เกิดการละเมิดความเป็นส่วนตัวและการเก็บรวบรวมข้อมูลส่วนบุคคลหรือข้อมูลองค์กรที่ละเอียดอ่อน
- การเข้าถึงแบบถาวร : RAT ได้รับการออกแบบมาเพื่อรักษาการเข้าถึงระบบที่ติดไวรัสอย่างต่อเนื่อง ช่วยให้อาชญากรไซเบอร์สามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้เป็นระยะเวลานาน ความคงอยู่นี้ทำให้เป็นเรื่องยากสำหรับเหยื่อในการตรวจจับและลบมัลแวร์ ทำให้ผู้โจมตีสามารถตั้งหลักในระบบได้อย่างต่อเนื่อง
- การขยายพันธุ์และการแพร่กระจาย : สามารถตั้งโปรแกรม RAT แบบกำหนดเองให้แพร่กระจายไปยังระบบอื่นภายในเครือข่าย ซึ่งอาจนำไปสู่การประนีประนอมของอุปกรณ์หลายเครื่องและแม้แต่ทั้งองค์กร ซึ่งอาจส่งผลให้เกิดความเสียหายในวงกว้าง การละเมิดข้อมูล และการหยุดชะงักในการปฏิบัติงาน
- การโจมตีแบบกำหนดเอง : อาชญากรไซเบอร์สามารถปรับแต่ง RAT เพื่อดำเนินการเวกเตอร์การโจมตีเฉพาะ ทำให้ซอฟต์แวร์รักษาความปลอดภัยตรวจจับและป้องกันได้ยาก การโจมตีเหล่านี้สามารถออกแบบมาเพื่อกำหนดเป้าหมายองค์กร อุตสาหกรรม หรือบุคคลที่เฉพาะเจาะจง ซึ่งจะเพิ่มโอกาสในการประสบความสำเร็จ
- การหลบเลี่ยงการตรวจจับ : RAT แบบกำหนดเองมักจะรวมเอาเทคนิคการป้องกันการตรวจจับ ซึ่งรวมถึงการเข้ารหัส การสร้างความสับสน และความหลากหลาย ทำให้โซลูชันด้านความปลอดภัยในการระบุและบรรเทาภัยคุกคามเป็นเรื่องที่ท้าทาย ซึ่งช่วยให้ผู้โจมตียังคงซ่อนตัวอยู่และหลีกเลี่ยงการตรวจจับเป็นระยะเวลานาน
- การปรับใช้แรนซัมแวร์ : RAT สามารถใช้เป็นเครื่องมือในการส่งมอบเพย์โหลดของแรนซัมแวร์ ล็อคเหยื่อออกจากระบบของตนเอง หรือเข้ารหัสข้อมูลของพวกเขา อาชญากรไซเบอร์สามารถเรียกร้องค่าไถ่เพื่อแลกกับคีย์ถอดรหัส ซึ่งก่อให้เกิดความขัดข้องทางการเงินและการดำเนินงาน
- การสร้างบอตเน็ต : RAT ที่ปรับแต่งได้สามารถใช้เพื่อรับสมัครอุปกรณ์ที่ติดไวรัสเข้าสู่บอตเน็ต ซึ่งสามารถนำไปใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายต่างๆ เช่น การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) การกระจายสแปม หรือการเผยแพร่มัลแวร์เพิ่มเติม
โดยสรุป ภัยคุกคามของ RAT ที่สามารถปรับแต่งให้เหมาะกับวัตถุประสงค์ของอาชญากรไซเบอร์นั้นก่อให้เกิดอันตรายในหลายแง่มุม เนื่องจากภัยคุกคามดังกล่าวทำให้เกิดกิจกรรมที่ไม่ปลอดภัยมากมาย ซึ่งอาจสร้างความเสียหายทางการเงิน การดำเนินงาน และชื่อเสียงอย่างมีนัยสำคัญต่อบุคคล องค์กร และแม้แต่ภาคส่วนทั้งหมด เพื่อต่อสู้กับภัยคุกคามเหล่านี้ มาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง รวมถึงการอัปเดตเป็นประจำ การฝึกอบรมพนักงาน และเครื่องมือตรวจจับและป้องกันภัยคุกคามขั้นสูง ถือเป็นสิ่งสำคัญ
