8/28/2023 г. в Interlab поступил образец, направленный журналисту, с узконаправленным содержанием, заманивающим получателя открыть документ. Журналист получил письмо от активиста, которому по адресу, выдающему себя за сотрудника организации, был отправлен вредоносный документ. Документ был в формате .LNK, и при его выполнении загружалась вредоносная команда powershell и легитимный DOCX, связанный с организацией.
В результате анализа Interlab обнаружила, что после первоначальной компрометации был выполнен AutoIT-скрипт, который использовался для инъекции процессов с применением техники встраивания процессов. Инжектированный процесс содержал новую RAT, которую Interlab окрестили "SuperBear".
Скрипт AutoIT выполняет типичную операцию по выделению процесса, вызывая собственные вызовы Windows API. Сначала он вызывает команду "CreateProcess" для порождения экземпляра Explorer.exe, который содержит флаг приостановки процесса. Приостановленный процесс разворачивается с помощью команды "NtUnmapViewOfSection", после чего в него записывается вредоносный код. Затем он возобновляется с помощью команд "VirtualAllocEx", "WriteProcessMemory", "SetThreatContext" и затем "ResumeThread".
Вредоносный код этой вредоносной кампании представлял собой новый троян удаленного доступа, который мы назвали SuperBear RAT. Данный вариант SuperBear RAT устанавливал соединение с C2-сервером, расположенным по адресу:
IP-адрес: 89[.]117[.]139[.]230
Домен: hironchk[.]com
РАТ выполняет одну из 3 основных операций атаки:
- Эксфильтрация данных процесса и системы
- Загрузка и выполнение команды shell
- Загрузить и запустить DLL.
Действия по умолчанию для C2-сервера, по-видимому, предписывают клиентам эксфильтровать и обрабатывать системные данные. Это часто характерно для атакующих кампаний, распространяемых данной группой, так как они тщательно подходят к разведке, пример этого показан ниже. Угрожающие лица могут также поручить RAT выполнить команды shell или загрузить на зараженную машину вредоносную DLL. Вредоносная DLL попытается создать случайное имя файла, и если ей это не удастся, то он будет назван "SuperBear".
Indicators of Compromise
IPv4
- 89.117.139.230
Domains
- hironchk.com
MD5
- 26893a46de61332fd08820d5dc56cd19
- e49aaa9a5933c48feca39f3080a7b94d
SHA1
- 557820050eaed5f32241346caeefdfff0ce44745
- f446cbbfa04ec856431938d4beb408de4528865c
SHA256
- 282e926eb90960a8a807dd0b9e8668e39b38e6961b0023b09f8b56d287ae11cb
- 5305b8969b33549b6bd4b68a3f9a2db1e3b21c5497a5d82cec9beaeca007630e