超级熊鼠
一场可能针对韩国民间社会组织的网络钓鱼活动揭露了一种名为 SuperBear 的先前未知的 RAT(远程访问木马)威胁。安全专家在一次涉及一名身份不明的活动人士的事件中发现了这种威胁,该活动人士在 2023 年 8 月底收到了被篡改的 LNK 文件。欺骗性发件人的电子邮件地址模仿了目标非营利组织的成员。
目录
多阶段攻击链提供 SuperBear 有效负载
激活后,LNK 文件会触发 PowerShell 命令来启动 Visual Basic 脚本的执行。该脚本反过来从合法但受感染的 WordPress 网站检索后续阶段的有效负载。
该有效负载包含两个组件:Autoit3.exe 二进制文件(标识为“solmir.pdb”)和 AutoIt 脚本(标识为“solmir_1.pdb”)。前者作为后者的启动机制。
AutoIt 脚本又采用了一种称为进程空洞的进程注入技术。该技术涉及将错误代码插入到挂起的进程中。在本例中,它会创建一个新的 Explorer.exe 实例,以方便注入之前未见过的 SuperBear RAT。
SuperBear RAT 对受感染的系统执行入侵操作
SuperBear RAT 执行三种主要攻击操作:窃取进程和系统数据、执行 shell 命令以及运行 DLL。默认情况下,C2 服务器指示客户端窃取和处理系统数据,这一特征通常与专注于侦察工作的攻击活动相关。
此外,威胁参与者可以指示 RAT 执行 shell 命令或将受感染的 DLL 下载到受影响的计算机上。如果 DLL 需要文件名,它将尝试生成一个随机文件名;如果不成功,则默认名称为“SuperBear”。此威胁因这种行为而得名,反映了其动态文件名生成方法。
此次攻击暂定为朝鲜民族国家组织 Kimsuky(也称为 APT43 或别名 Emerald Sleet、Nickel Kimball 和 Velvet Chollima)所为。这种归因是根据初始攻击向量和所使用的 PowerShell 命令之间的相似性得出的。
RAT 威胁可以定制以适应网络犯罪分子的议程
RAT(远程访问木马)威胁可以根据网络犯罪分子的议程进行定制,由于其多功能性和适应性,会带来巨大的危险。以下是与此类威胁相关的一些主要危险:
- 无限制的远程控制:RAT 为网络犯罪分子提供了对受感染系统的完全且无限制的访问。这种程度的控制使他们能够在受害者不知情或不同意的情况下进行各种有害活动,包括数据盗窃、监视和系统操纵。
- 数据盗窃:网络犯罪分子可以使用 RAT 收集敏感信息,例如个人数据、财务记录、登录凭据、知识产权等。收集到的数据可以在暗网上出售或用于身份盗窃、金融欺诈或企业间谍活动。
- 间谍和监视:可定制的 RAT 通常用于间谍目的,使网络犯罪分子能够监视和记录受害者的活动、捕获屏幕截图、记录击键,甚至激活受害者的网络摄像头和麦克风。这可能会导致隐私侵犯以及敏感个人或公司信息的收集。
- 持久访问:RAT 旨在保持对受感染系统的持久访问,使网络犯罪分子能够长时间保持对受感染设备的控制。这种持久性使得受害者很难检测和删除恶意软件,从而为攻击者在系统中提供了持续的立足点。
- 传播和传播:定制的 RAT 可以通过编程传播到网络内的其他系统,从而可能导致多个设备甚至整个组织受到损害。这可能会导致大范围的损坏、数据泄露和运营中断。
- 定制攻击:网络犯罪分子可以定制 RAT 来执行特定的攻击向量,从而使安全软件难以检测和阻止它们。这些攻击可以针对特定组织、行业或个人,从而增加成功的机会。
- 逃避检测:定制的 RAT 通常采用反检测技术,包括加密、混淆和多态性,这使得安全解决方案识别和减轻威胁变得具有挑战性。这使得攻击者能够保持隐藏并长时间避免被发现。
- 勒索软件部署:RAT 可用作传递勒索软件有效负载的一种手段,将受害者锁定在自己的系统之外或对其数据进行加密。然后,网络犯罪分子可以索要赎金以换取解密密钥,从而造成财务和运营中断。
- 僵尸网络形成:可定制的 RAT 可用于将受感染的设备招募到僵尸网络中,然后可将其用于各种恶意目的,例如分布式拒绝服务 (DDoS) 攻击、垃圾邮件分发或恶意软件的进一步传播。
总之,可以根据网络犯罪分子的目标进行定制的 RAT 威胁会带来多方面的危险,因为它们会引发广泛的不安全活动,并可能对个人、组织甚至整个部门造成重大的财务、运营和声誉损害。为了应对这些威胁,强大的网络安全措施(包括定期更新、员工培训以及先进的威胁检测和预防工具)至关重要。
