Remises multi-licences
Threat Database Malware SuperOurs RAT

SuperOurs RAT

Par Mezo en Malware, Advanced Persistent Threat (APT), Remote Administration Tools
Se traduisent par :
Français

Une campagne de phishing, probablement axée sur les organisations de la société civile sud-coréenne, a dévoilé une menace RAT (Remote Access Trojan) jusqu'alors inconnue nommée SuperBear. Les spécialistes de la sécurité ont identifié cette menace lors d'un incident impliquant un activiste non identifié qui a reçu un fichier LNK falsifié vers la fin du mois d'août 2023. L'adresse e-mail de l'expéditeur trompeur imitait celle d'un membre de l'organisation à but non lucratif ciblée.

Une chaîne d'attaque à plusieurs étapes fournit la charge utile SuperBear

Lors de l'activation, le fichier LNK déclenche une commande PowerShell pour lancer l'exécution d'un script Visual Basic. Ce script, à son tour, récupère les charges utiles des étapes suivantes à partir d’un site Web WordPress légitime mais compromis.

Cette charge utile comprend deux composants : le binaire Autoit3.exe, identifié comme « solmir.pdb » et un script AutoIt connu sous le nom de « solmir_1.pdb ». Le premier sert de mécanisme de lancement au second.

Le script AutoIt, quant à lui, utilise une technique d'injection de processus appelée creusement de processus. Cette technique consiste à insérer du mauvais code dans un processus suspendu. Dans ce cas, il crée une nouvelle instance d’Explorer.exe pour faciliter l’injection du SuperBear RAT inédit.

Le SuperBear RAT effectue des actions invasives sur des systèmes compromis

Le SuperBear RAT effectue trois opérations d'attaque principales : l'exfiltration des données de processus et du système, l'exécution de commandes shell et l'exécution d'une DLL. Par défaut, le serveur C2 demande aux clients d'exfiltrer et de traiter les données du système, une caractéristique souvent associée aux campagnes d'attaque axées sur les efforts de reconnaissance.

De plus, les acteurs malveillants peuvent demander au RAT d'exécuter des commandes shell ou de télécharger une DLL compromise sur la machine affectée. Dans les cas où la DLL a besoin d'un nom de fichier, elle tentera d'en générer un aléatoire ; en cas d'échec, le nom par défaut est « SuperBear ». Cette menace doit son nom à ce comportement, reflétant son approche de génération dynamique de noms de fichiers.

L’attaque est provisoirement attribuée à un acteur étatique nord-coréen connu sous le nom de Kimsuky (également appelé APT43 ou sous des pseudonymes tels que Emerald Sleet, Nickel Kimball et Velvet Chollima). Cette attribution est tirée de la ressemblance entre le vecteur d'attaque initial et les commandes PowerShell utilisées.

Les menaces RAT pourraient être personnalisées pour s'adapter au programme des cybercriminels

Les menaces RAT (Remote Access Trojan) qui peuvent être personnalisées pour s'adapter aux objectifs d'un cybercriminel présentent des dangers importants en raison de leur nature polyvalente et adaptable. Voici quelques principaux dangers associés à de telles menaces :

  • Contrôle à distance illimité : les RAT offrent aux cybercriminels un accès complet et illimité à un système infecté. Ce niveau de contrôle leur permet de mener un large éventail d'activités nuisibles, notamment le vol de données, la surveillance et la manipulation du système, le tout à l'insu ou sans le consentement de la victime.
  • Vol de données : les cybercriminels peuvent utiliser les RAT pour collecter des informations sensibles telles que des données personnelles, des dossiers financiers, des identifiants de connexion, des propriétés intellectuelles, etc. Les données collectées peuvent être vendues sur le Dark Web ou utilisées à des fins d’usurpation d’identité, de fraude financière ou d’espionnage industriel.
  • Espionnage et surveillance : les RAT personnalisables sont souvent utilisés à des fins d'espionnage, permettant aux cybercriminels de surveiller et d'enregistrer les activités d'une victime, de capturer des captures d'écran, d'enregistrer les frappes au clavier et même d'activer la webcam et le microphone de la victime. Cela peut générer des violations de la vie privée et la collecte d’informations personnelles ou professionnelles sensibles.
  • Accès persistant : les RAT sont conçus pour maintenir un accès persistant à un système infecté, permettant aux cybercriminels de garder le contrôle de l'appareil compromis pendant une période prolongée. Cette persistance rend difficile pour les victimes la détection et la suppression des logiciels malveillants, ce qui permet aux attaquants de prendre pied en permanence dans le système.
  • Propagation et diffusion : les RAT personnalisés peuvent être programmés pour se propager à d'autres systèmes au sein d'un réseau, conduisant potentiellement à la compromission de plusieurs appareils, voire d'organisations entières. Cela peut entraîner des dommages étendus, des violations de données et des perturbations opérationnelles.
  • Attaques personnalisées : les cybercriminels peuvent adapter les RAT pour exécuter des vecteurs d'attaque spécifiques, ce qui rend difficile leur détection et leur prévention par les logiciels de sécurité. Ces attaques peuvent être conçues pour cibler des organisations, des secteurs ou des individus spécifiques, augmentant ainsi les chances de succès.
  • Éviter la détection : les RAT personnalisés intègrent souvent des techniques d'anti-détection, notamment le chiffrement, l'obscurcissement et le polymorphisme, ce qui rend difficile pour les solutions de sécurité d'identifier et d'atténuer la menace. Cela permet aux attaquants de rester cachés et d’éviter d’être détectés pendant de longues périodes.
  • Déploiement de ransomwares : les RAT peuvent être utilisés comme moyen de diffuser des charges utiles de ransomwares, en bloquant les victimes hors de leurs propres systèmes ou en cryptant leurs données. Les cybercriminels peuvent alors exiger une rançon en échange de la clé de déchiffrement, provoquant des perturbations financières et opérationnelles.
  • Formation de botnets : des RAT personnalisables peuvent être utilisés pour recruter des appareils infectés dans un botnet, qui peut ensuite être exploité à diverses fins malveillantes, telles que des attaques par déni de service distribué (DDoS), la distribution de spam ou la propagation de logiciels malveillants.

En résumé, les menaces RAT qui peuvent être personnalisées pour répondre aux objectifs des cybercriminels représentent un danger à multiples facettes, car elles permettent un large éventail d'activités dangereuses susceptibles de causer d'importants dommages financiers, opérationnels et de réputation aux individus, aux organisations et même à des secteurs entiers. Pour lutter contre ces menaces, des mesures de cybersécurité robustes, notamment des mises à jour régulières, la formation des employés et des outils avancés de détection et de prévention des menaces, sont essentielles.

Tendance

Le plus regardé

Chargement...