针对韩国目标部署的 SuperBear 木马
最近可能针对韩国民间社会组织的网络钓鱼攻击发现了一种名为 SuperBear 的创新远程访问木马。根据 Interlabs 的一份新报告,此次泄露专门针对一名未透露姓名的活动人士,该活动人士于 2023 年 8 月下旬从一个冒充非营利组织 Interlabs 成员的地址收到了恶意 LNK 文件。
SuperBear 使用多级攻击链
执行后,LNK 文件会触发 PowerShell 命令来运行 Visual Basic 脚本,然后该脚本会从合法但受感染的 WordPress 网站检索后续阶段的有效负载。此有效负载包括 Autoit3.exe 二进制文件(称为“solmir.pdb”)和使用前者执行的 AutoIt 脚本(“solmir_1.pdb”)。
AutoIt 脚本又采用了一种称为进程空洞的进程注入技术,其中恶意代码被插入到挂起的进程中。在本例中,它创建一个 Explorer.exe 实例来注入名为 SuperBear 的未知 RAT,该 RAT 与远程服务器建立通信以进行数据泄露、下载和执行其他 shell 命令以及动态链接库 (DLL)。
Interlab 研究员 Ovi Liber 解释说,“C2 服务器的默认操作似乎指示客户端窃取和处理系统数据”,并补充说,该恶意软件之所以得名,是因为“恶意 DLL 将尝试为自己生成随机文件名,如果失败,它将被命名为“SuperBear”。”
此次攻击暂定为朝鲜民族国家攻击者 Kimsuky(也称为 APT43 或别名 Emerald Sleet、Nickel Kimball 和 Velvet Chollima)所为,因为它与最初的攻击向量和 PowerShell 具有相似之处使用的命令。
今年 2 月初,Interlab 披露,作为社会工程活动的一部分,朝鲜民族国家行为者利用名为 RambleOn 的 Android 恶意软件针对一名韩国记者。