СуперВедмідь ЩУР

Фішингова кампанія, ймовірно зосереджена на організаціях громадянського суспільства Південної Кореї, виявила раніше невідому загрозу RAT (троян віддаленого доступу) під назвою SuperBear. Спеціалісти з безпеки виявили цю загрозу в інциденті за участю невідомого активіста, який отримав підроблений файл LNK наприкінці серпня 2023 року. Електронна адреса оманливого відправника імітувала адресу члена цільової некомерційної організації.

Багатоетапний ланцюг атак забезпечує корисне навантаження SuperBear

Після активації файл LNK запускає команду PowerShell, щоб ініціювати виконання сценарію Visual Basic. Цей сценарій, у свою чергу, отримує корисні навантаження наступного етапу з законного, але скомпрометованого веб-сайту WordPress.

Це корисне навантаження складається з двох компонентів: двійкового файлу Autoit3.exe, ідентифікованого як "solmir.pdb", і сценарію AutoIt, відомого як "solmir_1.pdb". Перший служить пусковим механізмом для другого.

Сценарій AutoIt, у свою чергу, використовує техніку ін’єкції процесу, яка називається процес hollowing. Ця техніка включає вставку поганого коду в призупинений процес. У цьому випадку він створює новий екземпляр Explorer.exe, щоб полегшити ін’єкцію SuperBear RAT, який раніше не бачив.

SuperBear RAT виконує інвазивні дії на скомпрометованих системах

SuperBear RAT виконує три основні операції атаки: вилучення процесів і системних даних, виконання команд оболонки та запуск DLL. За замовчуванням сервер C2 дає вказівки клієнтам вилучати та обробляти системні дані, що часто пов’язано з кампаніями атак, спрямованими на розвідку.

Крім того, суб’єкти загрози можуть наказати RAT виконувати команди оболонки або завантажувати скомпрометовану DLL на уражену машину. У випадках, коли бібліотеці DLL потрібне ім’я файлу, вона спробує створити випадкове ім’я; якщо невдало, за замовчуванням ім'я "SuperBear". Ця загроза отримала свою назву через таку поведінку, що відображає підхід до динамічного створення імен файлів.

Напад попередньо приписують північнокорейському національно-державному актору, відомому як Кімсукі (також згадується як APT43 або під такими псевдонімами, як Emerald Sleet, Nickel Kimball і Velvet Chollima). Це пояснюється подібністю між початковим вектором атаки та використовуваними командами PowerShell.

Загрози RAT можна налаштувати відповідно до програми кіберзлочинців

Загрози RAT (троян віддаленого доступу), які можна налаштувати відповідно до порядку денного кіберзлочинців, становлять значну небезпеку через їх універсальний та адаптивний характер. Ось деякі основні небезпеки, пов’язані з такими загрозами:

• Необмежений дистанційний контроль : RAT надають кіберзлочинцям повний і необмежений доступ до зараженої системи. Цей рівень контролю дозволяє їм здійснювати широкий спектр шкідливих дій, включаючи крадіжку даних, стеження та маніпулювання системою, і все це без відома чи згоди жертви.
• Крадіжка даних : кіберзлочинці можуть використовувати RAT для збору конфіденційної інформації, такої як особисті дані, фінансові записи, облікові дані для входу, інтелектуальна власність тощо. Зібрані дані можуть бути продані в Dark Web або використані для крадіжки особистих даних, фінансового шахрайства або корпоративного шпигунства.
• Шпигунство та стеження : настроювані RAT часто використовуються для цілей шпигунства, дозволяючи кіберзлочинцям відстежувати та записувати дії жертви, робити знімки екрана, записувати натискання клавіш і навіть активувати веб-камеру та мікрофон жертви. Це може призвести до порушення конфіденційності та збору конфіденційної особистої чи корпоративної інформації.
• Постійний доступ : RAT призначені для підтримки постійного доступу до зараженої системи, дозволяючи кіберзлочинцям зберігати контроль над скомпрометованим пристроєм протягом тривалого періоду. Ця стійкість ускладнює для жертв виявлення та видалення зловмисного програмного забезпечення, забезпечуючи зловмисникам постійну точку опори в системі.
• Розповсюдження та розповсюдження : налаштовані RAT можна запрограмувати для поширення на інші системи в мережі, що потенційно може призвести до зламу кількох пристроїв і навіть цілих організацій. Це може призвести до великої шкоди, витоку даних і збоїв у роботі.
• Налаштовані атаки : кіберзлочинці можуть адаптувати RAT для виконання конкретних векторів атак, ускладнюючи програмне забезпечення безпеки для їх виявлення та запобігання. Ці атаки можуть бути спрямовані на конкретні організації, галузі чи окремих осіб, збільшуючи шанси на успіх.
• Ухилення від виявлення : налаштовані RAT часто включають методи захисту від виявлення, зокрема шифрування, обфускацію та поліморфізм, що ускладнює ідентифікацію та пом’якшення загрози рішенням безпеки. Це дозволяє зловмисникам залишатися прихованими та уникати виявлення протягом тривалого часу.
• Розгортання програм-вимагачів : RATs можна використовувати як засіб доставки корисних програм-вимагачів, блокування жертв у їхніх власних системах або шифрування їхніх даних. Потім кіберзлочинці можуть вимагати викуп в обмін на ключ дешифрування, що спричиняє фінансові та операційні збої.
• Формування ботнету : настроювані RAT можна використовувати для залучення заражених пристроїв до ботнету, який потім можна використовувати для різних зловмисних цілей, таких як розподілені атаки типу «відмова в обслуговуванні» (DDoS), розповсюдження спаму або подальше розповсюдження зловмисного програмного забезпечення.

Таким чином, загрози RAT, які можна налаштувати відповідно до цілей кіберзлочинців, становлять багатогранну небезпеку, оскільки вони дозволяють здійснювати широкий спектр небезпечних дій із потенціалом значної фінансової, операційної та репутаційної шкоди окремим особам, організаціям і навіть цілим секторам. Для боротьби з цими загрозами важливі надійні заходи кібербезпеки, зокрема регулярні оновлення, навчання співробітників і розширені інструменти виявлення та запобігання загрозам.