針對韓國目標部署的 SuperBear 木馬
最近可能針對韓國民間社會組織的網絡釣魚攻擊發現了一種名為 SuperBear 的創新遠程訪問木馬。根據 Interlabs 的一份新報告,此次洩露專門針對一名未透露姓名的活動人士,該活動人士於 2023 年 8 月下旬從一個冒充非營利組織 Interlabs 成員的地址收到了惡意 LNK 文件。
SuperBear 使用多級攻擊鏈
執行後,LNK 文件會觸發 PowerShell 命令來運行 Visual Basic 腳本,然後該腳本會從合法但受感染的 WordPress 網站檢索後續階段的有效負載。此有效負載包括 Autoit3.exe 二進製文件(稱為“solmir.pdb”)和使用前者執行的 AutoIt 腳本(“solmir_1.pdb”)。
AutoIt 腳本又採用了一種稱為進程空洞的進程注入技術,其中惡意代碼被插入到掛起的進程中。在本例中,它創建一個 Explorer.exe 實例來注入名為 SuperBear 的未知 RAT,該 RAT 與遠程服務器建立通信以進行數據洩露、下載和執行其他 shell 命令以及動態鏈接庫 (DLL)。
Interlab 研究員Ovi Liber 解釋說,“C2 服務器的默認操作似乎指示客戶端竊取和處理系統數據”,並補充說,該惡意軟件之所以得名,是因為“惡意DLL 將嘗試為自己生成隨機文件名,如果失敗,它將被命名為“SuperBear”。”
此次攻擊暫定為朝鮮民族國家攻擊者 Kimsuky(也稱為 APT43 或別名 Emerald Sleet、Nickel Kimball 和 Velvet Chollima)所為,因為它與最初的攻擊向量和 PowerShell 具有相似之處使用的命令。
今年 2 月初,Interlab 披露,作為社會工程活動的一部分,朝鮮民族國家行為者利用名為 RambleOn 的 Android 惡意軟件針對一名韓國記者。