SuperBear Trojan utplassert mot sørkoreanske mål
Et nylig phishing-angrep, muligens rettet mot sivilsamfunnsorganisasjoner i Sør-Korea, har avdekket en innovativ fjerntilgangstrojan kalt SuperBear. Bruddet var spesifikt rettet mot en ikke navngitt aktivist som i slutten av august 2023 mottok en ondsinnet LNK-fil fra en adresse som utga seg for å være medlem av den ideelle organisasjonen Interlabs, ifølge en ny rapport fra Interlabs.
SuperBear bruker flertrinns angrepskjede
Ved kjøring utløser LNK-filen en PowerShell-kommando for å kjøre et Visual Basic-skript, som deretter henter nyttelaster i påfølgende trinn fra et legitimt, men kompromittert WordPress-nettsted. Denne nyttelasten inkluderer Autoit3.exe-binæren (referert til som "solmir.pdb") og et AutoIt-skript ("solmir_1.pdb") som kjøres med førstnevnte.
AutoIt-skriptet bruker på sin side en prosessinjeksjonsteknikk kjent som prosessuthuling, der ondsinnet kode settes inn i en suspendert prosess. I dette tilfellet oppretter den en forekomst av Explorer.exe for å injisere en ukjent RAT, kalt SuperBear, som etablerer kommunikasjon med en ekstern server for dataeksfiltrering, nedlasting og utførelse av ytterligere skallkommandoer og dynamiske koblingsbiblioteker (DLL).
Interlab-forsker Ovi Liber forklarte, "C2-serverens standardhandling ser ut til å instruere klienter til å eksfiltrere og behandle systemdata," og la til at skadelig programvare får navnet sitt fordi "den ondsinnede DLL-filen vil forsøke å generere et tilfeldig filnavn for seg selv, og hvis den mislykkes , vil den få navnet 'SuperBear'."
Angrepet er foreløpig tilskrevet en nordkoreansk nasjonalstatsaktør kjent som Kimsuky (også referert til som APT43 eller av aliaser som Emerald Sleet, Nickel Kimball og Velvet Chollima), ettersom det har likheter med den første angrepsvektoren og PowerShell kommandoer brukt.
Tidligere i år i februar avslørte Interlab at nordkoreanske nasjonalstatsaktører målrettet en sørkoreansk journalist med Android-malware kalt RambleOn som en del av en sosial ingeniørkampanje.