Το SuperBear Trojan αναπτύχθηκε ενάντια σε στόχους της Νότιας Κορέας

Μια πρόσφατη επίθεση phishing, που πιθανώς στοχεύει σε οργανώσεις της κοινωνίας των πολιτών στη Νότια Κορέα, αποκάλυψε έναν καινοτόμο trojan απομακρυσμένης πρόσβασης που ονομάζεται SuperBear. Η παραβίαση στόχευε συγκεκριμένα έναν ανώνυμο ακτιβιστή ο οποίος, στα τέλη Αυγούστου 2023, έλαβε ένα κακόβουλο αρχείο LNK από μια διεύθυνση που προσποιείται ότι είναι μέλος του μη κερδοσκοπικού οργανισμού Interlabs, σύμφωνα με μια νέα έκθεση της Interlabs.

Το SuperBear χρησιμοποιεί αλυσίδα επίθεσης πολλαπλών σταδίων

Κατά την εκτέλεση, το αρχείο LNK ενεργοποιεί μια εντολή PowerShell για την εκτέλεση μιας δέσμης ενεργειών της Visual Basic, η οποία στη συνέχεια ανακτά ωφέλιμα φορτία επόμενου σταδίου από έναν νόμιμο αλλά παραβιασμένο ιστότοπο του WordPress. Αυτό το ωφέλιμο φορτίο περιλαμβάνει το δυαδικό αρχείο Autoit3.exe (αναφέρεται ως "solmir.pdb") και ένα σενάριο AutoIt ("solmir_1.pdb") που εκτελείται χρησιμοποιώντας το προηγούμενο.

Το σενάριο AutoIt, με τη σειρά του, χρησιμοποιεί μια τεχνική έγχυσης διαδικασίας γνωστή ως διαδικασία hollowing, όπου ο κακόβουλος κώδικας εισάγεται σε μια διαδικασία που έχει ανασταλεί. Σε αυτήν την περίπτωση, δημιουργεί μια παρουσία του Explorer.exe για την εισαγωγή ενός άγνωστου RAT, που ονομάζεται SuperBear, το οποίο δημιουργεί επικοινωνία με έναν απομακρυσμένο διακομιστή για εξαγωγή δεδομένων, λήψη και εκτέλεση πρόσθετων εντολών φλοιού και βιβλιοθήκες δυναμικής σύνδεσης (DLL).

Ο ερευνητής της Interlab, Ovi Liber, εξήγησε: «Η προεπιλεγμένη ενέργεια του διακομιστή C2 φαίνεται να καθοδηγεί τους πελάτες να εξάγουν και να επεξεργάζονται δεδομένα συστήματος», προσθέτοντας ότι το κακόβουλο λογισμικό κερδίζει το όνομά του επειδή «το κακόβουλο DLL θα προσπαθήσει να δημιουργήσει ένα τυχαίο όνομα αρχείου για τον εαυτό του και αν αποτύχει , θα ονομάζεται "SuperBear".

Η επίθεση αποδίδεται δοκιμαστικά σε έναν ηθοποιό έθνους-κράτους της Βόρειας Κορέας γνωστός ως Kimsuky (επίσης αναφέρεται ως APT43 ή με ψευδώνυμα όπως Emerald Sleet, Nickel Kimball και Velvet Chollima), καθώς έχει ομοιότητες με τον αρχικό φορέα επίθεσης και το PowerShell εντολές που χρησιμοποιήθηκαν.

Νωρίτερα αυτό το έτος, τον Φεβρουάριο, η Interlab αποκάλυψε ότι παράγοντες των εθνικών κρατών της Βόρειας Κορέας στόχευσαν έναν Νοτιοκορεάτη δημοσιογράφο με κακόβουλο λογισμικό Android που ονομάζεται RambleOn ως μέρος μιας εκστρατείας κοινωνικής μηχανικής.