SuperBear trójai a dél-koreai célpontok ellen
A közelmúltban történt adathalász támadás, amely valószínűleg dél-koreai civil szervezetek ellen irányult, felfedte a SuperBear nevű innovatív távoli hozzáférésű trójai programot. Az Interlabs új jelentése szerint a jogsértés konkrétan egy meg nem nevezett aktivistát célzott, aki 2023 augusztusának végén egy rosszindulatú LNK-fájlt kapott egy olyan címről, amely az Interlabs nonprofit szervezet tagjának adta ki magát.
A SuperBear többlépcsős támadási láncot használ
A végrehajtás során az LNK-fájl egy PowerShell-parancsot indít el egy Visual Basic-szkript futtatásához, amely azután lekéri a következő szakaszból származó hasznos adatokat egy legitim, de feltört WordPress-webhelyről. Ez a rakomány tartalmazza az Autoit3.exe bináris fájlt (a továbbiakban: "solmir.pdb") és egy AutoIt parancsfájlt ("solmir_1.pdb"), amely az előbbi használatával kerül végrehajtásra.
Az AutoIt szkript pedig a folyamatüregesítésként ismert folyamatinjektálási technikát alkalmazza, ahol rosszindulatú kódot illesztenek be egy felfüggesztett folyamatba. Ebben az esetben létrehozza az Explorer.exe példányát egy ismeretlen SuperBear nevű RAT beszúrásához, amely kommunikációt létesít egy távoli kiszolgálóval az adatok kiszűréséhez, további shell-parancsok letöltéséhez és végrehajtásához, valamint dinamikus hivatkozási könyvtárak (DLL-ek).
Az Interlab kutatója, Ovi Liber kifejtette: "Úgy tűnik, a C2 szerver alapértelmezett művelete a rendszeradatok kiszűrésére és feldolgozására utasítja az ügyfeleket", hozzátéve, hogy a rosszindulatú program azért kapja a nevét, mert "a rosszindulatú DLL megpróbál véletlenszerű fájlnevet generálni magának, és ha ez nem sikerül. , a neve „SuperBear” lesz.
A támadást feltételesen egy észak-koreai nemzetállami szereplőnek tulajdonítják, akit Kimsuky néven ismernek (más néven APT43 vagy olyan álnevek, mint Emerald Sleet, Nickel Kimball és Velvet Chollima), mivel hasonlóságot mutat a kezdeti támadási vektorral és a PowerShell-lel. használt parancsok.
Ez év elején, februárban az Interlab nyilvánosságra hozta, hogy észak-koreai nemzetállami szereplők egy szociális tervezési kampány részeként egy dél-koreai újságírót céloztak meg a RambleOn nevű Android-malware-rel.