Троян SuperBear развернут против южнокорейских целей
Недавняя фишинговая атака, предположительно направленная на организации гражданского общества в Южной Корее, выявила инновационный троян удаленного доступа под названием SuperBear. Согласно новому отчету Interlabs, атака была конкретно нацелена на неназванного активиста, который в конце августа 2023 года получил вредоносный файл LNK с адреса, выдававшего себя за члена некоммерческой организации Interlabs.
SuperBear использует многоэтапную цепочку атак
После выполнения файл LNK запускает команду PowerShell для запуска сценария Visual Basic, который затем извлекает полезные данные последующего этапа с законного, но скомпрометированного веб-сайта WordPress. Эта полезная нагрузка включает в себя двоичный файл Autoit3.exe (называемый «solmir.pdb») и сценарий AutoIt («solmir_1.pdb»), который выполняется с использованием первого.
Сценарий AutoIt, в свою очередь, использует технику внедрения процесса, известную как опустошение процесса, при которой вредоносный код вставляется в приостановленный процесс. В этом случае он создает экземпляр Explorer.exe для внедрения неизвестного RAT с именем SuperBear, который устанавливает связь с удаленным сервером для кражи данных, загрузки и выполнения дополнительных команд оболочки и библиотек динамической компоновки (DLL).
Исследователь Interlab Ови Либер объяснил: «Похоже, что действие сервера C2 по умолчанию дает указание клиентам фильтровать и обрабатывать системные данные», добавив, что вредоносное ПО получило свое название потому, что «вредоносная DLL попытается сгенерировать для себя случайное имя файла, и в случае неудачи , он будет называться «СуперМедведь».»
Атака предположительно приписывается северокорейскому национальному государству, известному как Кимсуки (также называемому APT43 или такими псевдонимами, как Emerald Sleet, Nickel Kimball и Velvet Chollima), поскольку она имеет сходство с первоначальным вектором атаки и PowerShell. используемые команды.
Ранее в феврале этого года Interlab сообщила, что представители северокорейского национального государства атаковали южнокорейского журналиста с помощью вредоносного ПО для Android под названием RambleOn в рамках кампании социальной инженерии.