Trojan SuperBear rozmieszczony przeciwko celom w Korei Południowej
Niedawny atak phishingowy, prawdopodobnie wymierzony w organizacje społeczeństwa obywatelskiego w Korei Południowej, ujawnił innowacyjnego trojana zdalnego dostępu o nazwie SuperBear. Jak wynika z nowego raportu Interlabs, naruszenie dotyczyło w szczególności anonimowego aktywisty, który pod koniec sierpnia 2023 r. otrzymał złośliwy plik LNK z adresu podszywającego się pod członka organizacji non-profit Interlabs.
SuperBear wykorzystuje wieloetapowy łańcuch ataku
Po wykonaniu plik LNK uruchamia polecenie PowerShell w celu uruchomienia skryptu Visual Basic, który następnie pobiera ładunki kolejnego etapu z legalnej, ale zagrożonej witryny WordPress. Ten ładunek zawiera plik binarny Autoit3.exe (określany jako „solmir.pdb”) i skrypt AutoIt („solmir_1.pdb”), który jest wykonywany przy użyciu tego pierwszego.
Z kolei skrypt AutoIt wykorzystuje technikę wstrzykiwania procesu znaną jako drążenie procesu, polegającą na wstawianiu złośliwego kodu do zawieszonego procesu. W tym przypadku tworzy instancję Explorer.exe w celu wstrzyknięcia nieznanego RAT o nazwie SuperBear, który nawiązuje komunikację ze zdalnym serwerem w celu wydobywania danych, pobierania i wykonywania dodatkowych poleceń powłoki oraz bibliotek dołączanych dynamicznie (DLL).
Badacz z Interlab, Ovi Liber, wyjaśnił: „Domyślne działanie serwera C2 wydaje się instruować klientów do eksfiltracji i przetwarzania danych systemowych”, dodając, że złośliwe oprogramowanie zasługuje na swoją nazwę, ponieważ „złośliwa biblioteka DLL będzie próbowała wygenerować dla siebie losową nazwę pliku, a jeśli to się nie powiedzie, , będzie nosił nazwę „SuperBear”.
Atak wstępnie przypisuje się północnokoreańskiemu aktorowi będącemu państwem narodowym, znanemu jako Kimsuky (określanemu również jako APT43 lub pod pseudonimami, takimi jak Emerald Sleet, Nickel Kimball i Velvet Chollima), ponieważ wykazuje podobieństwa do początkowego wektora ataku i programu PowerShell. użyte polecenia.
Na początku tego roku, w lutym, Interlab ujawnił, że w ramach kampanii socjotechnicznej podmioty działające na szczeblu państwa narodowego w Korei Północnej zaatakowały południowokoreańskiego dziennikarza, używając szkodliwego oprogramowania dla systemu Android o nazwie RambleOn.