Коллега или троянский медведь? SuperBear "поохотился" на активистов Южной Кореи

SuperBear Kimsuky Interlab PowerShell AutoIt WordPress DLL C2-сервер троян удаленного доступа Южная Корея Северная Корея
Коллега или троянский медведь? SuperBear "поохотился" на активистов Южной Кореи
SuperBear Kimsuky Interlab PowerShell AutoIt WordPress DLL C2-сервер троян удаленного доступа Южная Корея Северная Корея

Исследователи заподозрили хакерскую группировку Kimsuky в применении нового троянца SuperBear.

image

Новая фишинговая атака, предположительно нацеленная на группы гражданского общества в Южной Корее, привела к обнаружению нового трояна удалённого доступа SuperBear исследователями из компании Interlabs.

В конце прошлого месяца неназванный гражданский активист из Южной Кореи получил по электронной почте вредоносный файл-ярлык в формате «.lnk». Отправителем значился один из членов той же активистской организации, поэтому жертва ничего не заподозрила.

Вредоносный ярлык при выполнении запустил PowerShell-скрипт для загрузки прочих вредоносных компонентов со взломанного, но легитимного веб-сайта на WordPress. Полезная нагрузка включала в себя скрипт и бинарный файл AutoIt, которые использовали технику Process Hollowing для инъекции вредоносного кода в процесс Explorer.exe.

Вся эта цепочка действий привела к установке на скомпрометированный компьютер ранее неизвестной вредоносной программы удалённого доступа под названием SuperBear. Вскоре после запуска она устанавливала связь с удалённым C2-сервером злоумышленников для эксфильтрации данных, загрузки дополнительных библиотек и выполнения команд.

По словам исследователей Interlab, по умолчанию троян всегда собирает данные с заражённого хоста и отправляет их на сервер управления. Но если хакеры обнаружат в файлах жертвы что-то особенно интересное и ценное, они могут продолжить атаку в ручном режиме, и вытянуть ещё больше полезных для себя данных.

Вредоносная программа получила название SuperBear не случайно, это слово было найдено исследователями в коде троянца, который может при определённых условиях назвать таким образом одну из своих DLL-библиотек.

Атака приписывается северокорейской хакерской группировке Kimsuky из-за схожести с её предыдущими вредоносными кампаниями.

Эксперты отмечают, что Kimsuky известна своими многочисленными операциями кражи данных у государственных, военных и коммерческих организаций. Группировка связана с северокорейским правительством и, вероятно, проводит операции в его интересах.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение