Novi phishing napad, vjerovatno usmjeren na grupe civilnog društva u Južnoj Koreji, otkrio je novog RAT-a pod nazivom SuperBear. Prema nedavnom izvještaju Interlabsa, ovaj upad je imao za metu neidentifikovanog aktivistu krajem avgusta, koji je primio štetni .LNK fajl sa e-mail adrese koja se pretvarala da je član njihove organizacije.
Detaljno
- Kada se LNK datoteka izvrši, ona pokreće PowerShell naredbu za pokretanje Visual Basic skripte. Ova skripta, zauzvrat, preuzima korisne podatke sljedeće faze sa legitimne, ali kompromitovane WordPress web stranice. Ovi payload-i se sastoje od binarne datoteke Autoit3.exe i AutoIt skripte.
- AutoIt skripta igra ključnu ulogu koristeći tehniku process hollowing, pri čemu se malicoizni kod ubacuje u proces koji je privremeno obustavljen.
- U ovom slučaju, instanca Explorer.exe se pokreće da ubrizga SuperBear RAT. On uspostavlja komunikaciju sa udaljenim serverom za izvođenje različitih radnji kao što su eksfiltracija podataka, preuzimanje i izvršavanje dodatnih shell komandi i učitavanje biblioteka dinamičkih veza (DLL).
Pripisivanje
- Na osnovu sličnosti uočenih u početnom vektoru napada i prisutnosti korelacija koda u višestrukim kampanjama koje su praćene, postoji labavo pripisivanje ove kampanje grupi prijetnji Kimsuky .
- Međutim, nema jasnih naznaka zajedničke infrastrukture između ove kampanje i poznatih Kimsuky klastera.
- Osim toga, upotreba AutoIT-a za rocess hollowing u ovoj kampanji je vrijedna pažnje. Čini se da je skripta AutoIT modifikovana verzija sa raznih online foruma.
- Ovo je u skladu sa posebnom karakteristikom Kimsukyjevih operacija, jer je poznato da prilagođava i koristi alate otvorenog koda u svojim aktivnostima.
Zaključak
Istraživači su obezbijedili MOK za odbranu od ove prijetnje. Organizacije treba da daju prioritet sigurnosti e-pošte, implementišu robusnu zaštitu krajnjih tačaka i edukuju zaposlene o rizicima od krađe identiteta. Osim toga, kontinuisano praćenje i razmjena obavještajnih podataka o prijetnjama su od suštinskog značaja za ostanak ispred evoluirajućih sajber prijetnji.
Izvor: Cyware Alerts – Hacker News
