スーパーベア RAT

おそらく韓国の市民社会組織に焦点を当てたフィッシングキャンペーンにより、SuperBear という名前のこれまで知られていなかった RAT (リモート アクセス トロイの木馬) の脅威が明らかになりました。セキュリティ専門家は、2023 年 8 月末頃に改ざんされた LNK ファイルを受け取った身元不明の活動家が関与した事件でこの脅威を特定しました。詐欺的な送信者の電子メール アドレスは、標的となった非営利団体のメンバーを模倣していました。

多段階の攻撃チェーンが SuperBear ペイロードを配信

アクティブ化されると、LNK ファイルは PowerShell コマンドをトリガーして、Visual Basic スクリプトの実行を開始します。次に、このスクリプトは、正規であるにもかかわらず侵害された WordPress Web サイトから後続段階のペイロードを取得します。

このペイロードは、「solmir.pdb」として識別される Autoit3.exe バイナリと、「solmir_1.pdb」として知られる AutoIt スクリプトの 2 つのコンポーネントで構成されます。前者は後者の起動メカニズムとして機能します。

AutoIt スクリプトは、プロセス ハローイングと呼ばれるプロセス インジェクション手法を採用しています。この手法には、中断されたプロセスに不正なコードを挿入することが含まれます。この例では、Explorer.exe の新しいインスタンスを作成して、以前は見られなかった SuperBear RAT の挿入を容易にします。

SuperBear RAT は侵害されたシステムに対して侵入的なアクションを実行します

SuperBear RAT は、プロセスおよびシステム データの漏洩、シェル コマンドの実行、DLL の実行という 3 つの主要な攻撃操作を実行します。デフォルトでは、C2 サーバーはクライアントにシステム データを抽出して処理するように指示します。これは、偵察活動に重点を置いた攻撃キャンペーンによく関係する特性です。

さらに、攻撃者は RAT にシェル コマンドを実行するよう指示したり、感染した DLL を影響を受けるマシンにダウンロードさせたりする可能性があります。 DLL がファイル名を必要とする場合、ランダムなファイル名を生成しようとします。失敗した場合は、デフォルトの名前「SuperBear」が使用されます。この脅威の名前は、動的なファイル名生成アプローチを反映したこの動作に由来しています。

この攻撃は暫定的に、Kimsuky (APT43 または Emerald Sleet、Nickel Kimball、Velvet Chollima などの別名でも呼ばれる) として知られる北朝鮮の国民国家攻撃者によるものであると考えられています。この属性は、最初の攻撃ベクトルと使用された PowerShell コマンドの類似性に基づいて導き出されます。

RAT の脅威はサイバー犯罪のアジェンダに合わせてカスタマイズ可能

サイバー犯罪者の目的に合わせてカスタマイズできる RAT (リモート アクセス トロイの木馬) の脅威は、その多用途性と適応性により、重大な危険をもたらします。このような脅威に関連する主な危険性をいくつか紹介します。

• 無制限のリモート コントロール: RAT は、サイバー犯罪者に感染したシステムへの完全かつ無制限のアクセスを提供します。このレベルの制御により、被害者の知識や同意なしに、データの盗難、監視、システム操作などの幅広い有害な活動を実行することが可能になります。
• データ盗難: サイバー犯罪者は RAT を使用して、個人データ、財務記録、ログイン資格情報、知的財産などの機密情報を収集する可能性があります。収集されたデータはダークウェブで販売されたり、個人情報の盗難、金融詐欺、企業スパイ活動に使用される可能性があります。
• スパイ活動と監視: カスタマイズ可能な RAT はスパイ活動の目的でよく使用され、サイバー犯罪者が被害者の活動を監視および記録したり、スクリーンショットをキャプチャしたり、キーストロークを記録したり、被害者の Web カメラやマイクを起動したりすることもできます。これにより、プライバシー侵害や機密の個人情報や企業情報の収集が発生する可能性があります。
• 永続的なアクセス: RAT は、感染したシステムへの永続的なアクセスを維持するように設計されており、サイバー犯罪者が侵害されたデバイスの制御を長期間維持できるようになります。この持続性により、被害者がマルウェアを検出して削除することが困難になり、攻撃者がシステム内に継続的に足がかりを得ることができます。
• 伝播と拡散: カスタマイズされた RAT は、ネットワーク内の他のシステムに拡散するようにプログラムでき、複数のデバイスや組織全体の侵害につながる可能性があります。これにより、広範囲にわたる損害、データ侵害、運用の中断が発生する可能性があります。
• カスタマイズされた攻撃: サイバー犯罪者は、特定の攻撃ベクトルを実行するように RAT をカスタマイズすることができるため、セキュリティ ソフトウェアによる攻撃の検出と防止が困難になります。これらの攻撃は、特定の組織、業界、または個人をターゲットにするように設計されており、成功の可能性が高まります。
• 検出の回避: カスタマイズされた RAT には、暗号化、難読化、ポリモーフィズムなどの検出防止技術が組み込まれていることが多く、セキュリティ ソリューションが脅威を特定して軽減することが困難になります。これにより、攻撃者は隠れたままになり、長期間検出を回避できます。
• ランサムウェアの展開: RAT は、ランサムウェア ペイロードを配信し、被害者を自分のシステムから締め出したり、データを暗号化したりする手段として使用できます。サイバー犯罪者は復号キーと引き換えに身代金を要求し、財務的および業務上の混乱を引き起こす可能性があります。
• ボットネットの形成: カスタマイズ可能な RAT を使用して、感染したデバイスをボットネットにリクルートすることができ、分散型サービス拒否 (DDoS) 攻撃、スパムの配布、マルウェアのさらなる伝播など、さまざまな悪意のある目的に悪用される可能性があります。

要約すると、サイバー犯罪者の目的に合わせてカスタマイズできる RAT 脅威は、個人、組織、さらにはセクター全体に重大な経済的、運営的、風評被害をもたらす可能性のある広範囲にわたる危険な活動を可能にするため、多面的な危険をもたらします。これらの脅威に対抗するには、定期的なアップデート、従業員トレーニング、高度な脅威の検出および防止ツールなどの堅牢なサイバーセキュリティ対策が不可欠です。