針對韓國目標部署的 SuperBear 木馬

最近可能針對韓國民間社會組織的網絡釣魚攻擊發現了一種名為 SuperBear 的創新遠程訪問木馬。根據 Interlabs 的一份新報告，此次洩露專門針對一名未透露姓名的活動人士，該活動人士於 2023 年 8 月下旬從一個冒充非營利組織 Interlabs 成員的地址收到了惡意 LNK 文件。

SuperBear 使用多級攻擊鏈

執行後，LNK 文件會觸發 PowerShell 命令來運行 Visual Basic 腳本，然後該腳本會從合法但受感染的 WordPress 網站檢索後續階段的有效負載。此有效負載包括 Autoit3.exe 二進製文件（稱為“solmir.pdb”）和使用前者執行的 AutoIt 腳本（“solmir_1.pdb”）。

AutoIt 腳本又採用了一種稱為進程空洞的進程注入技術，其中惡意代碼被插入到掛起的進程中。在本例中，它創建一個 Explorer.exe 實例來注入名為 SuperBear 的未知 RAT，該 RAT 與遠程服務器建立通信以進行數據洩露、下載和執行其他 shell 命令以及動態鏈接庫 (DLL)。

Interlab 研究員Ovi Liber 解釋說，“C2 服務器的默認操作似乎指示客戶端竊取和處理系統數據”，並補充說，該惡意軟件之所以得名，是因為“惡意DLL 將嘗試為自己生成隨機文件名，如果失敗，它將被命名為“SuperBear”。”

此次攻擊暫定為朝鮮民族國家攻擊者 Kimsuky（也稱為 APT43 或別名 Emerald Sleet、Nickel Kimball 和 Velvet Chollima）所為，因為它與最初的攻擊向量和 PowerShell 具有相似之處使用的命令。

今年 2 月初，Interlab 披露，作為社會工程活動的一部分，朝鮮民族國家行為者利用名為 RambleOn 的 Android 惡意軟件針對一名韓國記者。