超級熊鼠
一場可能針對韓國民間社會組織的網絡釣魚活動揭露了一種名為 SuperBear 的先前未知的 RAT(遠程訪問木馬)威脅。安全專家在一次涉及一名身份不明的活動人士的事件中發現了這種威脅,該活動人士在2023 年8 月底收到了被篡改的LNK 文件。欺騙性發件人的電子郵件地址模仿了目標非營利組織的成員。
目錄
多階段攻擊鏈提供 SuperBear 有效負載
激活後,LNK 文件會觸發 PowerShell 命令來啟動 Visual Basic 腳本的執行。該腳本反過來從合法但受感染的 WordPress 網站檢索後續階段的有效負載。
該有效負載包含兩個組件:Autoit3.exe 二進製文件(標識為“solmir.pdb”)和 AutoIt 腳本(標識為“solmir_1.pdb”)。前者作為後者的啟動機制。
AutoIt 腳本又採用了一種稱為進程空洞的進程注入技術。該技術涉及將錯誤代碼插入到掛起的進程中。在本例中,它會創建一個新的 Explorer.exe 實例,以方便注入之前未見過的 SuperBear RAT。
SuperBear RAT 對受感染的系統執行入侵操作
SuperBear RAT 執行三種主要攻擊操作:竊取進程和系統數據、執行 shell 命令以及運行 DLL。默認情況下,C2 服務器指示客戶端竊取和處理系統數據,這一特徵通常與專注於偵察工作的攻擊活動相關。
此外,威脅參與者可以指示 RAT 執行 shell 命令或將受感染的 DLL 下載到受影響的計算機上。如果 DLL 需要文件名,它將嘗試生成一個隨機文件名;如果不成功,則默認名稱為“SuperBear”。此威脅因這種行為而得名,反映了其動態文件名生成方法。
此次攻擊暫定為朝鮮民族國家組織 Kimsuky(也稱為 APT43 或別名 Emerald Sleet、Nickel Kimball 和 Velvet Chollima)所為。這種歸因是根據初始攻擊向量和所使用的 PowerShell 命令之間的相似性得出的。
RAT 威脅可以定制以適應網絡犯罪分子的議程
RAT(遠程訪問木馬)威脅可以根據網絡犯罪分子的議程進行定制,由於其多功能性和適應性,會帶來巨大的危險。以下是與此類威脅相關的一些主要危險:
- 無限制的遠程控制:RAT 為網絡犯罪分子提供了對受感染系統的完全且無限制的訪問。這種程度的控制使他們能夠在受害者不知情或不同意的情況下進行各種有害活動,包括數據盜竊、監視和系統操縱。
- 數據盜竊:網絡犯罪分子可以使用 RAT 收集敏感信息,例如個人數據、財務記錄、登錄憑據、知識產權等。收集到的數據可以在暗網上出售或用於身份盜竊、金融欺詐或企業間諜活動。
- 間諜和監視:可定制的 RAT 通常用於間諜目的,使網絡犯罪分子能夠監視和記錄受害者的活動、捕獲屏幕截圖、記錄擊鍵,甚至激活受害者的網絡攝像頭和麥克風。這可能會導致隱私侵犯以及敏感個人或公司信息的收集。
- 持久訪問:RAT 旨在保持對受感染系統的持久訪問,使網絡犯罪分子能夠長時間保持對受感染設備的控制。這種持久性使得受害者很難檢測和刪除惡意軟件,從而為攻擊者在系統中提供了持續的立足點。
- 傳播和傳播:定制的 RAT 可以通過編程傳播到網絡內的其他系統,從而可能導致多個設備甚至整個組織受到損害。這可能會導致大範圍的損壞、數據洩露和運營中斷。
- 定制攻擊:網絡犯罪分子可以定制 RAT 來執行特定的攻擊向量,從而使安全軟件難以檢測和阻止它們。這些攻擊可以針對特定組織、行業或個人,從而增加成功的機會。
- 逃避檢測:定制的 RAT 通常採用反檢測技術,包括加密、混淆和多態性,這使得安全解決方案識別和減輕威脅變得具有挑戰性。這使得攻擊者能夠保持隱藏並長時間避免被發現。
- 勒索軟件部署:RAT 可用作傳遞勒索軟件有效負載的一種手段,將受害者鎖定在自己的系統之外或對其數據進行加密。然後,網絡犯罪分子可以索要贖金以換取解密密鑰,從而造成財務和運營中斷。
- 殭屍網絡形成:可定制的RAT 可用於將受感染的設備招募到殭屍網絡中,然後可將其用於各種惡意目的,例如分佈式拒絕服務(DDoS) 攻擊、垃圾郵件分發或惡意軟件的進一步傳播。
總之,可以根據網絡犯罪分子的目標進行定制的RAT 威脅會帶來多方面的危險,因為它們會引發廣泛的不安全活動,並可能對個人、組織甚至整個部門造成重大的財務、運營和聲譽損害。為了應對這些威脅,強大的網絡安全措施(包括定期更新、員工培訓以及先進的威脅檢測和預防工具)至關重要。
