Il trojan SuperBear è stato utilizzato contro obiettivi sudcoreani
Un recente attacco di phishing, probabilmente rivolto alle organizzazioni della società civile in Corea del Sud, ha scoperto un innovativo trojan di accesso remoto chiamato SuperBear. Secondo un nuovo rapporto di Interlabs, la violazione ha preso di mira specificamente un attivista anonimo che, alla fine di agosto 2023, ha ricevuto un file LNK dannoso da un indirizzo che fingeva di essere un membro dell'organizzazione no-profit Interlabs.
SuperBear utilizza una catena di attacco a più fasi
Al momento dell'esecuzione, il file LNK attiva un comando PowerShell per eseguire uno script Visual Basic, che poi recupera i payload della fase successiva da un sito Web WordPress legittimo ma compromesso. Questo payload include il file binario Autoit3.exe (denominato "solmir.pdb") e uno script AutoIt ("solmir_1.pdb") che viene eseguito utilizzando il primo.
Lo script AutoIt, a sua volta, utilizza una tecnica di iniezione dei processi nota come svuotamento dei processi, in cui il codice dannoso viene inserito in un processo sospeso. In questo caso, crea un'istanza di Explorer.exe per iniettare un RAT sconosciuto, denominato SuperBear, che stabilisce una comunicazione con un server remoto per l'esfiltrazione di dati, il download e l'esecuzione di comandi shell aggiuntivi e librerie a collegamento dinamico (DLL).
Il ricercatore di Interlab Ovi Liber ha spiegato: "L'azione predefinita del server C2 sembra istruire i client a esfiltrare ed elaborare i dati di sistema", aggiungendo che il malware prende questo nome perché "la DLL dannosa tenterà di generare un nome file casuale per se stessa e, se fallisce, , si chiamerà 'SuperBear.'"
L'attacco è provvisoriamente attribuito a un attore-stato nordcoreano noto come Kimsuky (noto anche come APT43 o con alias come Emerald Sleet, Nickel Kimball e Velvet Chollima), poiché presenta somiglianze con il vettore di attacco iniziale e PowerShell comandi utilizzati.
All'inizio di febbraio di quest'anno, Interlab ha rivelato che gli attori dello stato-nazione nordcoreano hanno preso di mira un giornalista sudcoreano con un malware Android chiamato RambleOn come parte di una campagna di ingegneria sociale.
