SuperBear Trojos arklys dislokuotas prieš Pietų Korėjos taikinius
Neseniai per sukčiavimo ataką, galbūt nukreiptą prieš Pietų Korėjos pilietinės visuomenės organizacijas, buvo aptiktas naujoviškas nuotolinės prieigos Trojos arklys, pavadintas „SuperBear“. Pažeidimas konkrečiai buvo nukreiptas į neįvardytą aktyvistą, kuris 2023 m. rugpjūčio pabaigoje gavo kenkėjišką LNK failą iš adreso, kuris apsimetė ne pelno organizacijos „Interlabs“ nariu, teigiama naujoje „Interlabs“ ataskaitoje.
„SuperBear“ naudoja daugiapakopę atakos grandinę
Vykdant LNK failą, suaktyvinama „PowerShell“ komanda, kad būtų paleistas „Visual Basic“ scenarijus, kuris tada nuskaito tolesnio etapo naudingąsias apkrovas iš teisėtos, bet pažeistos „WordPress“ svetainės. Į šią naudingąją apkrovą įeina dvejetainis „Autoit3.exe“ (vadinamas „solmir.pdb“) ir „AutoIt“ scenarijus („solmir_1.pdb“), kuris vykdomas naudojant pirmąjį.
„AutoIt“ scenarijus savo ruožtu naudoja proceso įterpimo techniką, vadinamą proceso tuščiaviduriu, kai kenkėjiškas kodas įterpiamas į sustabdytą procesą. Šiuo atveju jis sukuria Explorer.exe egzempliorių, kad įterptų nežinomą RAT, pavadintą SuperBear, kuris užmezga ryšį su nuotoliniu serveriu duomenų išfiltravimui, papildomų apvalkalo komandų atsisiuntimui ir vykdymui bei dinaminių saitų bibliotekoms (DLL).
„Interlab“ tyrėjas Ovi Liber paaiškino: „Atrodo, kad C2 serverio numatytasis veiksmas nurodo klientams išfiltruoti ir apdoroti sistemos duomenis“, ir pridūrė, kad kenkėjiška programa užsitarnauja tokį pavadinimą, nes „kenkėjiška DLL bandys sugeneruoti sau atsitiktinį failo pavadinimą, o jei nepavyks. , jis bus pavadintas „SuperBear“.
Išpuolis preliminariai priskiriamas Šiaurės Korėjos nacionalinės valstybės veikėjui, žinomam kaip Kimsuky (taip pat vadinamas APT43 arba tokiais slapyvardžiais kaip Emerald Sleet, Nickel Kimball ir Velvet Chollima), nes jis panašus į pradinį atakos vektorių ir PowerShell. naudojamos komandos.
Anksčiau šių metų vasario mėnesį „Interlab“ atskleidė, kad Šiaurės Korėjos nacionalinės valstybės veikėjai, vykdydami socialinės inžinerijos kampaniją, nusitaikė į Pietų Korėjos žurnalistą su „Android“ kenkėjiška programa „RambleOn“.