Un nuevo ataque de phishing probablemente dirigido a grupos de la sociedad civil en Corea del Sur ha llevado al descubrimiento de un novedoso troyano de acceso remoto llamado superoso.
La intrusión destacó a un activista anónimo, que fue contactado a finales de agosto de 2023 y recibió un archivo LNK malicioso de una dirección que se hacía pasar por un miembro de la organización, entidad sin fines de lucro Interlabs. dicho en un nuevo informe.
El archivo LNK, tras su ejecución, inicia un comando de PowerShell para ejecutar un script de Visual Basic que, a su vez, recupera las cargas útiles de la siguiente etapa de un sitio web de WordPress legítimo pero comprometido.
Esto incluye el binario Autoit3.exe (“solmir.pdb”) y un script AutoIt (“solmir_1.pdb”) que se inicia utilizando el primero.
El script AutoIt, por su parte, realiza la inyección de proceso utilizando un técnica de vaciado del procesoen el que se inserta código malicioso en un proceso que se encuentra en estado suspendido.
En este caso, se genera una instancia de Explorer.exe para inyectar una RAT nunca antes vista denominada SuperBear que establece comunicaciones con un servidor remoto para filtrar datos, descargar y ejecutar comandos de shell adicionales y bibliotecas de enlaces dinámicos (DDL). .
“La acción predeterminada para el servidor C2 parece indicar a los clientes que extraigan y procesen datos del sistema”, dijo el investigador de Interlab Ovi Liber, señalando que el malware se llama así porque “la DLL maliciosa intentará crear un nombre de archivo aleatorio para él, y si Si no puede, se llamará ‘SuperBear'”.
El ataque se ha atribuido vagamente a un actor-estado-nación de Corea del Norte llamado Kimsuky (también conocido como APT43 o Emerald Sleet, Nickel Kimball y Velvet Chollima), citando similitudes con el vector de ataque inicial y los comandos de PowerShell utilizados.
A principios de febrero, Interlab también reveló que actores de estados-nación de Corea del Norte atacaron a un periodista en Corea del Sur con un malware para Android denominado RambleOn como parte de una campaña de ingeniería social.