Trojan SuperBear implantado contra alvos sul-coreanos
Um recente ataque de phishing, possivelmente dirigido a organizações da sociedade civil na Coreia do Sul, descobriu um inovador trojan de acesso remoto chamado SuperBear. A violação visava especificamente um ativista não identificado que, no final de agosto de 2023, recebeu um arquivo LNK malicioso de um endereço que fingia ser membro da organização sem fins lucrativos Interlabs, de acordo com um novo relatório da Interlabs.
SuperBear usa cadeia de ataque em vários estágios
Após a execução, o arquivo LNK aciona um comando do PowerShell para executar um script Visual Basic, que então recupera cargas de estágio subsequente de um site WordPress legítimo, mas comprometido. Essa carga inclui o binário Autoit3.exe (referido como "solmir.pdb") e um script AutoIt ("solmir_1.pdb") que é executado usando o primeiro.
O script AutoIt, por sua vez, emprega uma técnica de injeção de processo conhecida como process Hollowing, onde código malicioso é inserido em um processo suspenso. Neste caso, ele cria uma instância do Explorer.exe para injetar um RAT desconhecido, chamado SuperBear, que estabelece comunicação com um servidor remoto para exfiltração de dados, baixando e executando comandos shell adicionais e bibliotecas de vínculo dinâmico (DLLs).
O pesquisador da Interlab, Ovi Liber, explicou: "A ação padrão do servidor C2 parece instruir os clientes a exfiltrar e processar dados do sistema", acrescentando que o malware ganha esse nome porque "a DLL maliciosa tentará gerar um nome de arquivo aleatório para si mesma e, se falhar , será nomeado 'SuperBear'."
O ataque é provisoriamente atribuído a um ator estatal norte-coreano conhecido como Kimsuky (também conhecido como APT43 ou por pseudônimos como Emerald Sleet, Nickel Kimball e Velvet Chollima), pois tem semelhanças com o vetor de ataque inicial e o PowerShell comandos usados.
No início deste ano, em fevereiro, a Interlab divulgou que atores estatais norte-coreanos atacaram um jornalista sul-coreano com um malware Android chamado RambleOn como parte de uma campanha de engenharia social.
