SuperBear トロイの木馬が韓国をターゲットに展開
おそらく韓国の市民社会組織を狙った最近のフィッシング攻撃により、SuperBear と呼ばれる革新的なリモート アクセス トロイの木馬が発見されました。 Interlabs の新しい報告書によると、この侵害は、2023 年 8 月下旬に非営利団体 Interlabs の会員になりすましたアドレスから悪意のある LNK ファイルを受け取った匿名の活動家を具体的にターゲットにしていました。
SuperBear は多段階の攻撃連鎖を使用します
実行されると、LNK ファイルは PowerShell コマンドをトリガーして Visual Basic スクリプトを実行し、正規だが侵害された WordPress Web サイトから後続段階のペイロードを取得します。このペイロードには、Autoit3.exe バイナリ (「solmir.pdb」と呼ばれます) と、前者を使用して実行される AutoIt スクリプト (「solmir_1.pdb」) が含まれています。
AutoIt スクリプトは、プロセス ハローイングとして知られるプロセス インジェクション技術を採用しており、これにより、悪意のあるコードが一時停止されたプロセスに挿入されます。この例では、Explorer.exe のインスタンスを作成して、SuperBear という名前の未知の RAT を挿入します。これにより、データの抽出、追加のシェル コマンド、およびダイナミック リンク ライブラリ (DLL) のダウンロードと実行のためにリモート サーバーとの通信が確立されます。
Interlab の研究者 Ovi Liber 氏は、「C2 サーバーのデフォルトの動作は、クライアントにシステム データを抽出して処理するよう指示しているようです」と説明し、このマルウェアの名前の由来は、「悪意のある DLL が自分自身にランダムなファイル名を生成しようとし、失敗した場合にその名前が付けられた」と付け加えました。 、「SuperBear」という名前になります。
この攻撃は、最初の攻撃ベクトルと PowerShell に類似点があるため、暫定的に Kimsuky (APT43 または Emerald Sleet、Nickel Kimball、Velvet Chollima などの別名でも呼ばれる) として知られる北朝鮮の国民国家攻撃者によるものであると考えられています。使用されるコマンド。
今年初めの 2 月、Interlab は、北朝鮮の国民国家関係者がソーシャル エンジニアリング キャンペーンの一環として、RambleOn と呼ばれる Android マルウェアで韓国人ジャーナリストを標的にしたことを明らかにしました。