Rabatte für mehrere Lizenzen
Threat Database Malware SuperBear RATTE

SuperBear RATTE

Von Mezo in Malware, Advanced Persistent Threat (APT), Remote Administration Tools
Übersetzen Sie in:
Deutsch

Eine Phishing-Kampagne, die sich wahrscheinlich auf südkoreanische Organisationen der Zivilgesellschaft konzentriert, hat eine bisher unbekannte RAT-Bedrohung (Remote Access Trojan) namens SuperBear aufgedeckt. Sicherheitsspezialisten haben diese Bedrohung bei einem Vorfall identifiziert, an dem ein unbekannter Aktivist beteiligt war, der gegen Ende August 2023 eine manipulierte LNK-Datei erhielt. Die E-Mail-Adresse des betrügerischen Absenders imitierte die eines Mitglieds der Ziel-Non-Profit-Organisation.

Eine mehrstufige Angriffskette liefert die SuperBear-Nutzlast

Bei der Aktivierung löst die LNK-Datei einen PowerShell-Befehl aus, um die Ausführung eines Visual Basic-Skripts zu initiieren. Dieses Skript wiederum ruft die Payloads der nächsten Stufe von einer legitimen, aber kompromittierten WordPress-Website ab.

Diese Nutzlast besteht aus zwei Komponenten: der Binärdatei Autoit3.exe mit der Bezeichnung „solmir.pdb“ und einem AutoIt-Skript mit der Bezeichnung „solmir_1.pdb“. Ersteres dient als Startmechanismus für Letzteres.

Das AutoIt-Skript wiederum verwendet eine Prozessinjektionstechnik namens Process Hollowing. Bei dieser Technik wird fehlerhafter Code in einen angehaltenen Prozess eingefügt. In diesem Fall wird eine neue Instanz von Explorer.exe erstellt, um die Injektion des bisher nicht sichtbaren SuperBear RAT zu erleichtern.

Die SuperBear RAT führt invasive Aktionen auf kompromittierten Systemen durch

Der SuperBear RAT führt drei primäre Angriffsvorgänge aus: das Herausfiltern von Prozess- und Systemdaten, das Ausführen von Shell-Befehlen und das Ausführen einer DLL. Standardmäßig weist der C2-Server Clients an, Systemdaten zu exfiltrieren und zu verarbeiten, eine Eigenschaft, die häufig mit Angriffskampagnen verbunden ist, die sich auf Aufklärungsbemühungen konzentrieren.

Darüber hinaus können Bedrohungsakteure die RAT anweisen, Shell-Befehle auszuführen oder eine kompromittierte DLL auf den betroffenen Computer herunterzuladen. In Fällen, in denen die DLL einen Dateinamen benötigt, versucht sie, einen zufälligen Namen zu generieren. Wenn dies nicht gelingt, wird standardmäßig der Name „SuperBear“ verwendet. Dieser Bedrohung verdankt ihren Namen diesem Verhalten, das ihren Ansatz zur dynamischen Generierung von Dateinamen widerspiegelt.

Der Angriff wird vorläufig einem nordkoreanischen Nationalstaatsakteur namens Kimsuky (auch als APT43 oder unter Decknamen wie Emerald Sleet, Nickel Kimball und Velvet Chollima bezeichnet) zugeschrieben. Diese Zuordnung ergibt sich aus der Ähnlichkeit zwischen dem ursprünglichen Angriffsvektor und den verwendeten PowerShell-Befehlen.

RAT-Bedrohungen könnten an die Agenda der Cyberkriminellen angepasst werden

RAT-Bedrohungen (Remote Access Trojan), die an die Pläne eines Cyberkriminellen angepasst werden können, stellen aufgrund ihrer Vielseitigkeit und Anpassungsfähigkeit erhebliche Gefahren dar. Hier sind einige der Hauptgefahren, die mit solchen Bedrohungen verbunden sind:

  • Uneingeschränkte Fernsteuerung : RATs ermöglichen Cyberkriminellen vollständigen und uneingeschränkten Zugriff auf ein infiziertes System. Dieses Maß an Kontrolle ermöglicht es ihnen, eine Vielzahl schädlicher Aktivitäten durchzuführen, darunter Datendiebstahl, Überwachung und Systemmanipulation, alles ohne Wissen oder Zustimmung des Opfers.
  • Datendiebstahl : Cyberkriminelle können RATs verwenden, um vertrauliche Informationen wie persönliche Daten, Finanzunterlagen, Anmeldeinformationen, geistiges Eigentum und mehr zu sammeln. Die gesammelten Daten können im Dark Web verkauft oder für Identitätsdiebstahl, Finanzbetrug oder Wirtschaftsspionage verwendet werden.
  • Spionage und Überwachung : Anpassbare RATs werden oft zu Spionagezwecken eingesetzt und ermöglichen es Cyberkriminellen, die Aktivitäten eines Opfers zu überwachen und aufzuzeichnen, Screenshots zu machen, Tastenanschläge aufzuzeichnen und sogar die Webcam und das Mikrofon des Opfers zu aktivieren. Dies kann zu Datenschutzverletzungen und zur Erfassung sensibler persönlicher oder Unternehmensdaten führen.
  • Dauerhafter Zugriff : RATs sollen den dauerhaften Zugriff auf ein infiziertes System aufrechterhalten und es Cyberkriminellen ermöglichen, über einen längeren Zeitraum die Kontrolle über das kompromittierte Gerät zu behalten. Diese Persistenz erschwert es den Opfern, die Malware zu erkennen und zu entfernen, sodass Angreifer dauerhaft im System Fuß fassen können.
  • Ausbreitung und Verbreitung : Angepasste RATs können so programmiert werden, dass sie sich auf andere Systeme innerhalb eines Netzwerks ausbreiten, was möglicherweise zur Gefährdung mehrerer Geräte und sogar ganzer Organisationen führen kann. Dies kann zu weitreichenden Schäden, Datenschutzverletzungen und Betriebsunterbrechungen führen.
  • Maßgeschneiderte Angriffe : Cyberkriminelle können RATs so anpassen, dass sie bestimmte Angriffsvektoren ausführen, was es für Sicherheitssoftware schwierig macht, sie zu erkennen und zu verhindern. Diese Angriffe können auf bestimmte Organisationen, Branchen oder Einzelpersonen ausgerichtet sein und so die Erfolgsaussichten erhöhen.
  • Umgehung der Erkennung : Maßgeschneiderte RATs enthalten oft Anti-Erkennungstechniken, einschließlich Verschlüsselung, Verschleierung und Polymorphismus, was es für Sicherheitslösungen schwierig macht, die Bedrohung zu erkennen und abzuschwächen. Dies ermöglicht es Angreifern, über einen längeren Zeitraum verborgen zu bleiben und einer Entdeckung zu entgehen.
  • Ransomware-Bereitstellung : RATs können als Mittel zur Bereitstellung von Ransomware-Payloads verwendet werden, um Opfer von ihren eigenen Systemen auszusperren oder ihre Daten zu verschlüsseln. Cyberkriminelle können dann ein Lösegeld als Gegenleistung für den Entschlüsselungsschlüssel verlangen, was zu finanziellen und betrieblichen Störungen führt.
  • Botnet-Bildung : Anpassbare RATs können verwendet werden, um infizierte Geräte in ein Botnet zu rekrutieren, das dann für verschiedene böswillige Zwecke genutzt werden kann, wie z. B. DDoS-Angriffe (Distributed Denial of Service), Spam-Verbreitung oder die weitere Verbreitung von Malware.

Zusammenfassend lässt sich sagen, dass RAT-Bedrohungen, die an die Ziele von Cyberkriminellen angepasst werden können, eine vielschichtige Gefahr darstellen, da sie ein breites Spektrum unsicherer Aktivitäten ermöglichen und das Potenzial für erhebliche finanzielle, betriebliche und Reputationsschäden für Einzelpersonen, Organisationen und sogar ganze Sektoren haben. Um diese Bedrohungen zu bekämpfen, sind robuste Cybersicherheitsmaßnahmen, einschließlich regelmäßiger Updates, Mitarbeiterschulungen und fortschrittlicher Tools zur Bedrohungserkennung und -prävention, unerlässlich.

Im Trend

Am häufigsten gesehen

Wird geladen...