针对韩国目标部署的 SuperBear 木马

最近可能针对韩国民间社会组织的网络钓鱼攻击发现了一种名为 SuperBear 的创新远程访问木马。根据 Interlabs 的一份新报告，此次泄露专门针对一名未透露姓名的活动人士，该活动人士于 2023 年 8 月下旬从一个冒充非营利组织 Interlabs 成员的地址收到了恶意 LNK 文件。

SuperBear 使用多级攻击链

执行后，LNK 文件会触发 PowerShell 命令来运行 Visual Basic 脚本，然后该脚本会从合法但受感染的 WordPress 网站检索后续阶段的有效负载。此有效负载包括 Autoit3.exe 二进制文件（称为“solmir.pdb”）和使用前者执行的 AutoIt 脚本（“solmir_1.pdb”）。

AutoIt 脚本又采用了一种称为进程空洞的进程注入技术，其中恶意代码被插入到挂起的进程中。在本例中，它创建一个 Explorer.exe 实例来注入名为 SuperBear 的未知 RAT，该 RAT 与远程服务器建立通信以进行数据泄露、下载和执行其他 shell 命令以及动态链接库 (DLL)。

Interlab 研究员 Ovi Liber 解释说，“C2 服务器的默认操作似乎指示客户端窃取和处理系统数据”，并补充说，该恶意软件之所以得名，是因为“恶意 DLL 将尝试为自己生成随机文件名，如果失败，它将被命名为“SuperBear”。”

此次攻击暂定为朝鲜民族国家攻击者 Kimsuky（也称为 APT43 或别名 Emerald Sleet、Nickel Kimball 和 Velvet Chollima）所为，因为它与最初的攻击向量和 PowerShell 具有相似之处使用的命令。

今年 2 月初，Interlab 披露，作为社会工程活动的一部分，朝鲜民族国家行为者利用名为 RambleOn 的 Android 恶意软件针对一名韩国记者。