SuperBear RAT

Isang kampanya sa phishing na may posibilidad na tumuon sa mga organisasyon ng lipunang sibil sa South Korea ang naglabas ng dati nang hindi kilalang banta ng RAT (Remote Access Trojan) na pinangalanang SuperBear. Natukoy ng mga espesyalista sa seguridad ang banta na ito sa isang insidente na kinasasangkutan ng isang hindi kilalang aktibista na nakatanggap ng na-tamper na LNK file sa katapusan ng Agosto 2023. Ginaya ng email address ng mapanlinlang na nagpadala ang isang miyembro ng naka-target na non-profit na organisasyon.

Isang Multi-Stage Attack Chain ang Naghahatid ng SuperBear Payload

Sa pag-activate, ang LNK file ay nagti-trigger ng isang PowerShell command upang simulan ang pagpapatupad ng isang Visual Basic script. Ang script na ito, sa turn, ay kinukuha ang mga kasunod na yugto ng mga payload mula sa isang lehitimong ngunit nakompromiso na website ng WordPress.

Ang payload na ito ay binubuo ng dalawang bahagi: ang Autoit3.exe binary, na kinilala bilang 'solmir.pdb,' at isang AutoIt script na kilala bilang 'solmir_1.pdb.' Ang una ay nagsisilbing mekanismo ng paglulunsad para sa huli.

Ang AutoIt script, naman, ay gumagamit ng proseso ng pag-iniksyon na pamamaraan na tinatawag na process hollowing. Ang diskarteng ito ay nagsasangkot ng pagpasok ng masamang code sa isang sinuspinde na proseso. Sa pagkakataong ito, lumilikha ito ng bagong instance ng Explorer.exe upang mapadali ang pag-iniksyon ng dati nang hindi nakikitang SuperBear RAT.

Gumaganap ang SuperBear RAT ng Mga Invasive Action sa Mga Nakompromisong System

Ang SuperBear RAT ay nagsasagawa ng tatlong pangunahing operasyon ng pag-atake: exfiltrating na proseso at data ng system, pagsasagawa ng mga shell command, at pagpapatakbo ng isang DLL. Bilang default, ang C2 server ay nagtuturo sa mga kliyente na i-exfiltrate at iproseso ang data ng system, isang katangian na kadalasang nauugnay sa mga kampanya ng pag-atake na nakatuon sa mga pagsisikap sa reconnaissance.

Bukod pa rito, maaaring idirekta ng mga banta ng aktor ang RAT na magsagawa ng mga shell command o mag-download ng nakompromisong DLL sa apektadong makina. Sa mga kaso kung saan kailangan ng DLL ng filename, susubukan nitong bumuo ng random; kung hindi matagumpay, magiging default ito sa pangalang 'SuperBear.' Nakuha ng banta na ito ang pangalan nito mula sa gawi na ito, na nagpapakita ng dynamic na paraan ng pagbuo ng filename nito.

Pansamantalang iniuugnay ang pag-atake sa isang aktor ng estado ng North Korea na kilala bilang Kimsuky (tinukoy din bilang APT43 o sa mga alyas gaya ng Emerald Sleet, Nickel Kimball, at Velvet Chollima). Ang pagpapatungkol na ito ay nakuha mula sa pagkakahawig sa pagitan ng paunang vector ng pag-atake at ng mga utos ng PowerShell na ginamit.

Maaaring I-customize ang Mga RAT Threats upang Magkasya sa Agenda ng Cybercriminals

Ang mga banta ng RAT (Remote Access Trojan) na maaaring i-customize upang umangkop sa agenda ng cybercriminal ay nagdudulot ng malalaking panganib dahil sa kanilang versatile at adaptable na kalikasan. Narito ang ilang pangunahing panganib na nauugnay sa naturang mga banta:

• Hindi Pinaghihigpitang Remote Control : Ang mga RAT ay nagbibigay sa mga cybercriminal ng kumpleto at hindi pinaghihigpitang pag-access sa isang nahawaang sistema. Ang antas ng kontrol na ito ay nagpapahintulot sa kanila na magsagawa ng malawak na hanay ng mga nakakapinsalang aktibidad, kabilang ang pagnanakaw ng data, pagsubaybay, at pagmamanipula ng system, lahat nang walang kaalaman o pahintulot ng biktima.
• Pagnanakaw ng Data : Ang mga cybercriminal ay maaaring gumamit ng mga RAT upang mangolekta ng sensitibong impormasyon tulad ng personal na data, mga rekord sa pananalapi, mga kredensyal sa pag-log in, intelektwal na ari-arian at higit pa. Maaaring ibenta ang nakolektang data sa Dark Web o gamitin para sa pagnanakaw ng pagkakakilanlan, pandaraya sa pananalapi, o espiya ng kumpanya.
• Espionage at Surveillance : Ang mga nako-customize na RAT ay kadalasang ginagamit para sa mga layunin ng espionage, na nagbibigay-daan sa mga cybercriminal na subaybayan at i-record ang mga aktibidad ng biktima, kumuha ng mga screenshot, i-record ang mga keystroke at i-activate ang webcam at mikropono ng biktima. Maaari itong makabuo ng mga paglabag sa privacy at pagkolekta ng sensitibong personal o corporate na impormasyon.
• Persistent Access : Ang mga RAT ay idinisenyo upang mapanatili ang patuloy na pag-access sa isang nahawaang sistema, na nagpapahintulot sa mga cybercriminal na mapanatili ang kontrol sa nakompromisong device sa loob ng mahabang panahon. Ang pagtitiyaga na ito ay ginagawang hamon para sa mga biktima na matukoy at maalis ang malware, na nagbibigay sa mga umaatake ng patuloy na panghahawakan sa system.
• Pagpapalaganap at Paglaganap : Maaaring i-program ang mga customized na RAT para kumalat sa iba pang mga system sa loob ng isang network, na posibleng humahantong sa kompromiso ng maraming device at maging ng buong organisasyon. Maaari itong magresulta sa malawakang pinsala, mga paglabag sa data, at mga pagkagambala sa pagpapatakbo.
• Mga Customized na Pag-atake : Maaaring iangkop ng mga cybercriminal ang mga RAT upang magsagawa ng mga partikular na vector ng pag-atake, na ginagawang mahirap para sa software ng seguridad na makita at pigilan ang mga ito. Ang mga pag-atake na ito ay maaaring idinisenyo upang i-target ang mga partikular na organisasyon, industriya, o indibidwal, na nagpapataas ng mga pagkakataong magtagumpay.
• Pag-iwas sa Pagtukoy : Madalas na isinasama ng mga customized na RAT ang mga diskarte sa anti-detection, kabilang ang pag-encrypt, obfuscation, at polymorphism, na ginagawang hamon para sa mga solusyon sa seguridad na tukuyin at pagaanin ang banta. Nagbibigay-daan ito sa mga umaatake na manatiling nakatago at maiwasan ang pag-detect sa mahabang panahon.
• Ransomware Deployment : Maaaring gamitin ang mga RAT bilang isang paraan upang maghatid ng mga ransomware payload, pag-lock ng mga biktima sa kanilang sariling mga system o pag-encrypt ng kanilang data. Ang mga cybercriminal ay maaaring humingi ng ransom kapalit ng decryption key, na nagdudulot ng mga pagkagambala sa pananalapi at pagpapatakbo.
• Pagbuo ng Botnet : Maaaring gamitin ang mga nako-customize na RAT upang mag-recruit ng mga nahawaang device sa isang botnet, na maaaring magamit para sa iba't ibang malisyosong layunin, tulad ng mga distributed denial-of-service (DDoS) na pag-atake, pamamahagi ng spam, o karagdagang pagpapalaganap ng malware.

Sa kabuuan, ang mga banta ng RAT na maaaring i-customize upang umangkop sa mga layunin ng mga cybercriminal ay nagdudulot ng maraming aspeto na panganib, dahil pinapagana nila ang malawak na hanay ng mga hindi ligtas na aktibidad na may potensyal para sa malaking pinsala sa pananalapi, pagpapatakbo, at reputasyon sa mga indibidwal, organisasyon, at maging sa buong sektor. Upang labanan ang mga banta na ito, ang mga matatag na hakbang sa cybersecurity, kabilang ang mga regular na update, pagsasanay ng empleyado, at mga advanced na tool sa pag-detect at pag-iwas sa pagbabanta, ay mahalaga.