Superoso RATA

Una campaña de phishing con un probable enfoque en organizaciones de la sociedad civil de Corea del Sur ha revelado una amenaza RAT (troyano de acceso remoto) previamente desconocida llamada SuperBear. Los especialistas en seguridad identificaron esta amenaza en un incidente que involucró a un activista no identificado que recibió un archivo LNK manipulado a fines de agosto de 2023. La dirección de correo electrónico del remitente engañoso imitaba a un miembro de la organización sin fines de lucro objetivo.

Una cadena de ataque de varias etapas entrega la carga útil de SuperBear

Tras la activación, el archivo LNK activa un comando de PowerShell para iniciar la ejecución de un script de Visual Basic. Este script, a su vez, recupera las cargas útiles de la etapa posterior de un sitio web de WordPress legítimo pero comprometido.

Esta carga útil consta de dos componentes: el binario Autoit3.exe, identificado como 'solmir.pdb', y un script de AutoIt conocido como 'solmir_1.pdb'. El primero sirve como mecanismo de lanzamiento del segundo.

El script AutoIt, a su vez, emplea una técnica de inyección de procesos llamada vaciado de procesos. Esta técnica implica insertar código incorrecto en un proceso suspendido. En este caso, crea una nueva instancia de Explorer.exe para facilitar la inyección del SuperBear RAT nunca antes visto.

SuperBear RAT realiza acciones invasivas en sistemas comprometidos

SuperBear RAT lleva a cabo tres operaciones de ataque principales: filtrar datos del proceso y del sistema, ejecutar comandos de shell y ejecutar una DLL. De forma predeterminada, el servidor C2 indica a los clientes que extraigan y procesen datos del sistema, una característica a menudo asociada con campañas de ataque centradas en esfuerzos de reconocimiento.

Además, los actores de amenazas pueden ordenar al RAT que ejecute comandos de shell o descargue una DLL comprometida en la máquina afectada. En los casos en que la DLL necesite un nombre de archivo, intentará generar uno aleatorio; Si no tiene éxito, el nombre predeterminado será 'SuperBear'. Esta amenaza obtuvo su nombre por este comportamiento, lo que refleja su enfoque dinámico de generación de nombres de archivos.

El ataque se atribuye tentativamente a un actor-estado-nación de Corea del Norte conocido como Kimsuky (también conocido como APT43 o por alias como Emerald Sleet, Nickel Kimball y Velvet Chollima). Esta atribución se deriva del parecido entre el vector de ataque inicial y los comandos de PowerShell empleados.

Las amenazas RAT podrían personalizarse para adaptarse a la agenda de los ciberdelincuentes

Las amenazas RAT (troyano de acceso remoto) que pueden personalizarse para adaptarse a la agenda de un ciberdelincuente plantean peligros importantes debido a su naturaleza versátil y adaptable. A continuación se detallan algunos peligros clave asociados con tales amenazas:

• Control remoto sin restricciones : las RAT brindan a los ciberdelincuentes acceso completo y sin restricciones a un sistema infectado. Este nivel de control les permite llevar a cabo una amplia gama de actividades dañinas, incluido el robo de datos, la vigilancia y la manipulación del sistema, todo ello sin el conocimiento o consentimiento de la víctima.
• Robo de datos : los ciberdelincuentes pueden utilizar RAT para recopilar información confidencial, como datos personales, registros financieros, credenciales de inicio de sesión, propiedad intelectual y más. Los datos recopilados pueden venderse en la Dark Web o utilizarse para robo de identidad, fraude financiero o espionaje corporativo.
• Espionaje y vigilancia : las RAT personalizables se utilizan a menudo con fines de espionaje, lo que permite a los ciberdelincuentes monitorear y registrar las actividades de una víctima, capturar capturas de pantalla, registrar pulsaciones de teclas e incluso activar la cámara web y el micrófono de la víctima. Esto puede generar violaciones a la privacidad y la recopilación de información personal o corporativa sensible.
• Acceso persistente : las RAT están diseñadas para mantener un acceso persistente a un sistema infectado, lo que permite a los ciberdelincuentes mantener el control sobre el dispositivo comprometido durante un período prolongado. Esta persistencia dificulta que las víctimas detecten y eliminen el malware, lo que proporciona a los atacantes un punto de apoyo continuo en el sistema.
• Propagación y difusión : las RAT personalizadas se pueden programar para propagarse a otros sistemas dentro de una red, lo que podría comprometer múltiples dispositivos e incluso organizaciones enteras. Esto puede provocar daños generalizados, filtraciones de datos e interrupciones operativas.
• Ataques personalizados : los ciberdelincuentes pueden adaptar las RAT para ejecutar vectores de ataque específicos, lo que dificulta que el software de seguridad los detecte y prevenga. Estos ataques pueden diseñarse para apuntar a organizaciones, industrias o individuos específicos, aumentando las posibilidades de éxito.
• Evadir la detección : las RAT personalizadas a menudo incorporan técnicas antidetección, que incluyen cifrado, ofuscación y polimorfismo, lo que dificulta que las soluciones de seguridad identifiquen y mitiguen la amenaza. Esto permite a los atacantes permanecer ocultos y evitar ser detectados durante períodos prolongados.
• Implementación de ransomware : las RAT se pueden utilizar como un medio para entregar cargas útiles de ransomware, bloqueando a las víctimas fuera de sus propios sistemas o cifrando sus datos. Los ciberdelincuentes pueden entonces exigir un rescate a cambio de la clave de descifrado, lo que provoca interrupciones financieras y operativas.
• Formación de botnets : se pueden utilizar RAT personalizables para reclutar dispositivos infectados en una botnet, que luego se puede aprovechar para diversos fines maliciosos, como ataques distribuidos de denegación de servicio (DDoS), distribución de spam o una mayor propagación de malware.

En resumen, las amenazas RAT que pueden personalizarse para adaptarse a los objetivos de los ciberdelincuentes plantean un peligro multifacético, ya que permiten una amplia gama de actividades inseguras con el potencial de causar importantes daños financieros, operativos y de reputación a individuos, organizaciones e incluso sectores enteros. Para combatir estas amenazas, son esenciales medidas sólidas de ciberseguridad, incluidas actualizaciones periódicas, capacitación de los empleados y herramientas avanzadas de detección y prevención de amenazas.