SuperBear-trojan ingezet tegen Zuid-Koreaanse doelwitten
Een recente phishing-aanval, mogelijk gericht op maatschappelijke organisaties in Zuid-Korea, heeft een innovatieve trojan voor externe toegang blootgelegd, genaamd SuperBear. De inbreuk was specifiek gericht tegen een niet bij naam genoemde activist die eind augustus 2023 een kwaadaardig LNK-bestand ontving van een adres dat zich voordeed als lid van de non-profitorganisatie Interlabs, volgens een nieuw rapport van Interlabs.
SuperBear maakt gebruik van een meerfasige aanvalsketen
Bij uitvoering activeert het LNK-bestand een PowerShell-opdracht om een Visual Basic-script uit te voeren, dat vervolgens de payloads in de volgende fase ophaalt van een legitieme maar gecompromitteerde WordPress-website. Deze payload omvat het binaire bestand Autoit3.exe (ook wel "solmir.pdb" genoemd) en een AutoIt-script ("solmir_1.pdb") dat wordt uitgevoerd met behulp van het eerste.
Het AutoIt-script maakt op zijn beurt gebruik van een procesinjectietechniek die bekend staat als procesuitholling, waarbij kwaadaardige code in een onderbroken proces wordt ingevoegd. In dit geval wordt een exemplaar van Explorer.exe gemaakt om een onbekende RAT, genaamd SuperBear, te injecteren, die communicatie tot stand brengt met een externe server voor data-exfiltratie, het downloaden en uitvoeren van aanvullende shell-opdrachten en dynamische linkbibliotheken (DLL's).
Interlab-onderzoeker Ovi Liber legde uit: "De standaardactie van de C2-server lijkt clients te instrueren om systeemgegevens te exfiltreren en te verwerken", eraan toevoegend dat de malware zijn naam verdient omdat "de kwaadaardige DLL zal proberen een willekeurige bestandsnaam voor zichzelf te genereren, en als dat mislukt , het krijgt de naam 'SuperBear.'"
De aanval wordt voorlopig toegeschreven aan een Noord-Koreaanse natiestaatacteur die bekend staat als Kimsuky (ook wel APT43 genoemd of onder aliassen als Emerald Sleet, Nickel Kimball en Velvet Chollima), omdat deze overeenkomsten vertoont met de initiële aanvalsvector en de PowerShell gebruikte commando's.
Eerder dit jaar in februari maakte Interlab bekend dat Noord-Koreaanse natiestaten een Zuid-Koreaanse journalist aanvielen met Android-malware genaamd RambleOn als onderdeel van een social engineering-campagne.
