Une nouvelle attaque de phishing visant probablement des groupes de la société civile en Corée du Sud a conduit à la découverte d’un nouveau cheval de Troie d’accès à distance appelé Superours.
L’intrusion a ciblé un activiste anonyme, qui a été contacté fin août 2023 et a reçu un fichier LNK malveillant provenant d’une adresse se faisant passer pour un membre de l’organisation à but non lucratif Interlabs. dit dans un nouveau rapport.
Le fichier LNK, lors de son exécution, lance une commande PowerShell pour exécuter un script Visual Basic qui, à son tour, récupère les charges utiles de l’étape suivante à partir d’un site Web WordPress légitime mais compromis.
Cela inclut le binaire Autoit3.exe (« solmir.pdb ») et un script AutoIt (« solmir_1.pdb ») lancé à l’aide du premier.
Le script AutoIt, quant à lui, effectue une injection de processus à l’aide d’un technique de creusement de processusdans lequel un code malveillant est inséré dans un processus en état suspendu.
Dans ce cas, une instance d’Explorer.exe est générée pour injecter un RAT inédit appelé SuperBear qui établit des communications avec un serveur distant pour exfiltrer les données, télécharger et exécuter des commandes shell supplémentaires et des bibliothèques de liens dynamiques (DDL). .
“L’action par défaut du serveur C2 semble demander aux clients d’exfiltrer et de traiter les données du système”, a déclaré Ovi Liber, chercheur chez Interlab, soulignant que le malware est ainsi nommé car “la DLL malveillante tentera de lui créer un nom de fichier aléatoire, et si ce n’est pas possible, il s’appellera “SuperBear”.
L’attaque a été vaguement imputée à un acteur d’État-nation nord-coréen nommé Kimsuky (alias APT43 ou Emerald Sleet, Nickel Kimball et Velvet Chollima), citant des similitudes avec le vecteur d’attaque initial et les commandes PowerShell utilisées.
Plus tôt en février, Interlab a également révélé que des acteurs étatiques nord-coréens avaient ciblé un journaliste en Corée du Sud avec un malware Android baptisé RambleOn, dans le cadre d’une campagne d’ingénierie sociale.