Un recente attacco di phishing, probabilmente indirizzato a gruppi della società civile in Corea del Sud, ha portato alla scoperta di un nuovo trojan di accesso remoto chiamato SuperBear.
Dettagli sull’attacco
L’intrusione ha preso di mira un attivista non identificato, contattato alla fine di agosto 2023. L’attivista ha ricevuto un file LNK dannoso da un indirizzo che impersonava un membro dell’organizzazione, come riportato da Interlabs in un nuovo rapporto. All’esecuzione del file LNK, viene avviato un comando PowerShell che esegue uno script Visual Basic. Quest’ultimo, a sua volta, recupera i payload della fase successiva da un sito web WordPress legittimo ma compromesso.
Funzionamento del trojan SuperBear
Il payload include il binario Autoit3.exe (“solmir.pdb”) e uno script AutoIt (“solmir_1.pdb”) che viene avviato utilizzando il binario precedente. Lo script AutoIt esegue l’iniezione di processo utilizzando una tecnica di “process hollowing”, in cui il codice dannoso viene inserito in un processo in uno stato sospeso. In questo scenario, viene generata un’istanza di Explorer.exe per iniettare un RAT mai visto prima, denominato SuperBear. Questo RAT stabilisce comunicazioni con un server remoto per esfiltrare dati, scaricare ed eseguire ulteriori comandi shell e librerie a collegamento dinamico (DDL).
Il ricercatore di Interlab, Ovi Liber, ha notato che l’azione predefinita per il server C2 sembra istruire i clienti a esfiltrare ed elaborare i dati di sistema. Il malware prende il nome “SuperBear” perché “la DLL dannosa tenterà di creare un nome di file casuale per essa, e se non può, verrà chiamata ‘SuperBear'”.
Possibili responsabili dell’attacco
L’attacco è stato vagamente attribuito a un attore statale nordcoreano chiamato Kimsuky (noto anche come APT43 o Emerald Sleet, Nickel Kimball e Velvet Chollima), citando somiglianze con il vettore di attacco iniziale e i comandi PowerShell utilizzati. In precedenza, a febbraio, Interlab aveva rivelato che attori statali nordcoreani avevano preso di mira un giornalista in Corea del Sud con un malware Android chiamato RambleOn, come parte di una campagna di ingegneria sociale.