SuperBear Trojan indsat mod sydkoreanske mål
Et nyligt phishing-angreb, muligvis rettet mod civilsamfundsorganisationer i Sydkorea, har afsløret en innovativ fjernadgangstrojan kaldet SuperBear. Bruddet var specifikt rettet mod en unavngiven aktivist, der i slutningen af august 2023 modtog en ondsindet LNK-fil fra en adresse, der udgav sig for at være medlem af den non-profit organisation Interlabs, ifølge en ny rapport fra Interlabs.
SuperBear bruger Multi-Stage Chain of Attack
Ved udførelse udløser LNK-filen en PowerShell-kommando til at køre et Visual Basic-script, som derefter henter de efterfølgende trins nyttelaster fra et legitimt, men kompromitteret WordPress-websted. Denne nyttelast inkluderer Autoit3.exe binær (benævnt "solmir.pdb") og et AutoIt-script ("solmir_1.pdb"), der udføres ved hjælp af førstnævnte.
AutoIt-scriptet anvender til gengæld en procesinjektionsteknik kendt som procesudhulning, hvor ondsindet kode indsættes i en suspenderet proces. I dette tilfælde opretter den en forekomst af Explorer.exe for at injicere en ukendt RAT, kaldet SuperBear, som etablerer kommunikation med en fjernserver til dataeksfiltrering, download og udførelse af yderligere shell-kommandoer og dynamiske linkbiblioteker (DLL'er).
Interlab-forsker Ovi Liber forklarede, "C2-serverens standardhandling ser ud til at instruere klienter til at udskille og behandle systemdata," og tilføjede, at malwaren får sit navn, fordi "den ondsindede DLL vil forsøge at generere et tilfældigt filnavn til sig selv, og hvis det mislykkes , får den navnet 'SuperBear'."
Angrebet er foreløbigt tilskrevet en nordkoreansk nationalstatsaktør kendt som Kimsuky (også omtalt som APT43 eller af aliaser som Emerald Sleet, Nickel Kimball og Velvet Chollima), da det har ligheder med den oprindelige angrebsvektor og PowerShell brugte kommandoer.
Tidligere på året i februar afslørede Interlab, at nordkoreanske nationalstatsaktører målrettede en sydkoreansk journalist med Android-malware kaldet RambleOn som en del af en social engineering-kampagne.