CHUỘT siêu gấu

Một chiến dịch lừa đảo có thể tập trung vào các tổ chức xã hội dân sự Hàn Quốc đã tiết lộ một mối đe dọa RAT (Trojan truy cập từ xa) chưa từng được biết đến trước đây có tên SuperBear. Các chuyên gia bảo mật đã xác định được mối đe dọa này trong một sự cố liên quan đến một nhà hoạt động không rõ danh tính, người đã nhận được tệp LNK giả mạo vào cuối tháng 8 năm 2023. Địa chỉ email của người gửi lừa đảo bắt chước một thành viên của tổ chức phi lợi nhuận được nhắm mục tiêu.

Chuỗi tấn công nhiều giai đoạn mang lại tải trọng SuperBear

Sau khi kích hoạt, tệp LNK sẽ kích hoạt lệnh PowerShell để bắt đầu thực thi tập lệnh Visual Basic. Đến lượt tập lệnh này sẽ truy xuất các tải trọng ở giai đoạn tiếp theo từ một trang web WordPress hợp pháp nhưng bị xâm phạm.

Tải trọng này bao gồm hai thành phần: tệp nhị phân Autoit3.exe, được xác định là 'solmir.pdb' và tập lệnh AutoIt được gọi là 'solmir_1.pdb.' Cái trước đóng vai trò là cơ chế khởi động cho cái sau.

Ngược lại, tập lệnh AutoIt sử dụng một kỹ thuật chèn quy trình được gọi là làm rỗng quy trình. Kỹ thuật này liên quan đến việc chèn mã xấu vào một quy trình bị treo. Trong trường hợp này, nó tạo ra một phiên bản mới của Explorer.exe để tạo điều kiện thuận lợi cho việc tiêm SuperBear RAT chưa từng thấy trước đó.

SuperBear RAT thực hiện các hành động xâm lấn trên các hệ thống bị xâm nhập

SuperBear RAT thực hiện ba hoạt động tấn công chính: lọc dữ liệu hệ thống và quy trình, thực thi các lệnh shell và chạy DLL. Theo mặc định, máy chủ C2 hướng dẫn khách hàng lọc và xử lý dữ liệu hệ thống, một đặc điểm thường liên quan đến các chiến dịch tấn công tập trung vào nỗ lực trinh sát.

Ngoài ra, các tác nhân đe dọa có thể ra lệnh cho RAT thực thi các lệnh shell hoặc tải xuống tệp DLL bị xâm phạm về máy bị ảnh hưởng. Trong trường hợp DLL cần tên tệp, nó sẽ cố gắng tạo một tên ngẫu nhiên; nếu không thành công, nó sẽ mặc định có tên 'SuperBear.' Mối đe dọa này được đặt tên từ hành vi này, phản ánh cách tiếp cận tạo tên tệp động của nó.

Cuộc tấn công dự kiến được cho là do một nhân vật quốc gia-quốc gia Bắc Triều Tiên tên là Kimsuky (còn được gọi là APT43 hoặc các bí danh như Emerald Sleet, Nickel Kimball và Velvet Chollima) thực hiện. Sự phân bổ này được rút ra từ sự giống nhau giữa vectơ tấn công ban đầu và các lệnh PowerShell được sử dụng.

Các mối đe dọa RAT có thể được tùy chỉnh để phù hợp với chương trình nghị sự của tội phạm mạng

Các mối đe dọa RAT (Trojan truy cập từ xa) có thể được tùy chỉnh để phù hợp với mục đích của tội phạm mạng gây ra những mối nguy hiểm đáng kể do tính chất linh hoạt và dễ thích ứng của chúng. Dưới đây là một số mối nguy hiểm chính liên quan đến các mối đe dọa như vậy:

• Điều khiển từ xa không hạn chế : RAT cung cấp cho tội phạm mạng quyền truy cập đầy đủ và không hạn chế vào hệ thống bị nhiễm. Mức độ kiểm soát này cho phép chúng thực hiện một loạt các hoạt động có hại, bao gồm đánh cắp dữ liệu, giám sát và thao túng hệ thống mà nạn nhân không hề biết hoặc không đồng ý.
• Trộm cắp dữ liệu : Tội phạm mạng có thể sử dụng RAT để thu thập thông tin nhạy cảm như dữ liệu cá nhân, hồ sơ tài chính, thông tin đăng nhập, sở hữu trí tuệ, v.v. Dữ liệu thu thập được có thể được bán trên Dark Web hoặc được sử dụng để đánh cắp danh tính, gian lận tài chính hoặc gián điệp công ty.
• Gián điệp và Giám sát : RAT có thể tùy chỉnh thường được sử dụng cho mục đích gián điệp, cho phép tội phạm mạng theo dõi và ghi lại hoạt động của nạn nhân, chụp ảnh màn hình, ghi lại thao tác bàn phím và thậm chí kích hoạt webcam và micrô của nạn nhân. Điều này có thể tạo ra các hành vi vi phạm quyền riêng tư và thu thập thông tin cá nhân hoặc thông tin nhạy cảm của công ty.
• Truy cập liên tục : RAT được thiết kế để duy trì quyền truy cập liên tục vào hệ thống bị nhiễm, cho phép tội phạm mạng duy trì quyền kiểm soát thiết bị bị xâm nhập trong một thời gian dài. Sự tồn tại dai dẳng này khiến nạn nhân gặp khó khăn trong việc phát hiện và loại bỏ phần mềm độc hại, tạo cho kẻ tấn công một chỗ đứng vững chắc trong hệ thống.
• Tuyên truyền và lan truyền : RAT tùy chỉnh có thể được lập trình để lây lan sang các hệ thống khác trong mạng, có khả năng dẫn đến sự xâm phạm của nhiều thiết bị và thậm chí toàn bộ tổ chức. Điều này có thể dẫn đến thiệt hại trên diện rộng, vi phạm dữ liệu và gián đoạn hoạt động.
• Các cuộc tấn công tùy chỉnh : Tội phạm mạng có thể điều chỉnh RAT để thực thi các vectơ tấn công cụ thể, khiến phần mềm bảo mật khó phát hiện và ngăn chặn chúng. Những cuộc tấn công này có thể được thiết kế để nhắm mục tiêu vào các tổ chức, ngành hoặc cá nhân cụ thể, nhằm tăng cơ hội thành công.
• Phát hiện trốn tránh : RAT tùy chỉnh thường kết hợp các kỹ thuật chống phát hiện, bao gồm mã hóa, che giấu và đa hình, khiến các giải pháp bảo mật gặp khó khăn trong việc xác định và giảm thiểu mối đe dọa. Điều này cho phép những kẻ tấn công ẩn nấp và tránh bị phát hiện trong thời gian dài.
• Triển khai ransomware : RAT có thể được sử dụng như một phương tiện để phân phối tải trọng ransomware, khóa nạn nhân khỏi hệ thống của chính họ hoặc mã hóa dữ liệu của họ. Sau đó, tội phạm mạng có thể yêu cầu tiền chuộc để đổi lấy khóa giải mã, gây ra sự gián đoạn về tài chính và hoạt động.
• Hình thành Botnet : RAT có thể tùy chỉnh có thể được sử dụng để tuyển dụng các thiết bị bị nhiễm vào botnet, sau đó có thể được tận dụng cho các mục đích độc hại khác nhau, chẳng hạn như các cuộc tấn công từ chối dịch vụ (DDoS) phân tán, phân phối thư rác hoặc phát tán thêm phần mềm độc hại.

Tóm lại, các mối đe dọa RAT có thể được tùy chỉnh để phù hợp với mục tiêu của tội phạm mạng gây ra mối nguy hiểm nhiều mặt, vì chúng tạo điều kiện cho một loạt các hoạt động không an toàn có khả năng gây thiệt hại đáng kể về tài chính, hoạt động và danh tiếng cho các cá nhân, tổ chức và thậm chí toàn bộ các lĩnh vực. Để chống lại những mối đe dọa này, các biện pháp an ninh mạng mạnh mẽ, bao gồm cập nhật thường xuyên, đào tạo nhân viên cũng như các công cụ ngăn chặn và phát hiện mối đe dọa nâng cao, là rất cần thiết.