- 9,682
- 18
- 8 Ноя 2022
Исследователи заподозрили хакерскую группировку Kimsuky в применении нового троянца SuperBear.
Новая фишинговая атака, предположительно нацеленная на группы гражданского общества в Южной Корее, Для просмотра ссылки Войдиили Зарегистрируйся нового трояна удалённого доступа SuperBear исследователями из компании Interlabs.
В конце прошлого месяца неназванный гражданский активист из Южной Кореи получил по электронной почте вредоносный файл-ярлык в формате «.lnk». Отправителем значился один из членов той же активистской организации, поэтому жертва ничего не заподозрила.
Вредоносный ярлык при выполнении запустил PowerShell -скрипт для загрузки прочих вредоносных компонентов со взломанного, но легитимного веб-сайта на WordPress . Полезная нагрузка включала в себя скрипт и бинарный файл AutoIt , которые использовали технику Process Hollowing для инъекции вредоносного кода в процесс Explorer.exe.
Вся эта цепочка действий привела к установке на скомпрометированный компьютер ранее неизвестной вредоносной программы удалённого доступа под названием SuperBear. Вскоре после запуска она устанавливала связь с удалённым C2-сервером злоумышленников для эксфильтрации данных, загрузки дополнительных библиотек и выполнения команд.
По словам исследователей Interlab , по умолчанию троян всегда собирает данные с заражённого хоста и отправляет их на сервер управления. Но если хакеры обнаружат в файлах жертвы что-то особенно интересное и ценное, они могут продолжить атаку в ручном режиме, и вытянуть ещё больше полезных для себя данных.
Вредоносная программа получила название SuperBear не случайно, это слово было найдено исследователями в коде троянца, который может при определённых условиях назвать таким образом одну из своих DLL -библиотек.
Атака приписывается северокорейской хакерской группировке Kimsuky из-за схожести с её предыдущими вредоносными кампаниями.
Эксперты отмечают, что Kimsuky известна своими многочисленными операциями кражи данных у государственных, военных и коммерческих организаций. Группировка связана с северокорейским правительством и, вероятно, проводит операции в его интересах.
Новая фишинговая атака, предположительно нацеленная на группы гражданского общества в Южной Корее, Для просмотра ссылки Войди
В конце прошлого месяца неназванный гражданский активист из Южной Кореи получил по электронной почте вредоносный файл-ярлык в формате «.lnk». Отправителем значился один из членов той же активистской организации, поэтому жертва ничего не заподозрила.
Вредоносный ярлык при выполнении запустил PowerShell -скрипт для загрузки прочих вредоносных компонентов со взломанного, но легитимного веб-сайта на WordPress . Полезная нагрузка включала в себя скрипт и бинарный файл AutoIt , которые использовали технику Process Hollowing для инъекции вредоносного кода в процесс Explorer.exe.
Вся эта цепочка действий привела к установке на скомпрометированный компьютер ранее неизвестной вредоносной программы удалённого доступа под названием SuperBear. Вскоре после запуска она устанавливала связь с удалённым C2-сервером злоумышленников для эксфильтрации данных, загрузки дополнительных библиотек и выполнения команд.
По словам исследователей Interlab , по умолчанию троян всегда собирает данные с заражённого хоста и отправляет их на сервер управления. Но если хакеры обнаружат в файлах жертвы что-то особенно интересное и ценное, они могут продолжить атаку в ручном режиме, и вытянуть ещё больше полезных для себя данных.
Вредоносная программа получила название SuperBear не случайно, это слово было найдено исследователями в коде троянца, который может при определённых условиях назвать таким образом одну из своих DLL -библиотек.
Атака приписывается северокорейской хакерской группировке Kimsuky из-за схожести с её предыдущими вредоносными кампаниями.
Эксперты отмечают, что Kimsuky известна своими многочисленными операциями кражи данных у государственных, военных и коммерческих организаций. Группировка связана с северокорейским правительством и, вероятно, проводит операции в его интересах.
- Источник новости
- www.securitylab.ru
