Նոր ֆիշինգային հարձակումը, որն ուղղված է Հարավային Կորեայի քաղաքացիական հասարակության խմբերին, հանգեցրել է նոր remote access trojan-ի հայտնաբերմանը, որը կոչվում է SuperBear:
AutoIt սկրիպտն, իր հերթին, օգտագործելով hollowing տեխնիկան՝ կատարում է process injection, որի ժամանակ համապատասխանաբար տեղադրվում է վնասակար ծածկագիրը:
Արդյունքում ստեղծվում է Explorer.exe-ի օրինակ, never-before-seen RAT, որը կոչվում է SuperBear: Այն կապ է հաստատում remote սերվերի հետ՝ տվյալների արտազատման, ներբեռնման և shell command-ն ու dynamic-link libraries (DDLs)-երը գործարկելու համար:
Հետազոտության արդյունքում առանձնացվել է մի անանուն ակտիվիստ, ում կողմից դեռևս 2023 թվականի սկզբին վնասակար LNK ֆայլեր էին ուղարկվել տարբեր կազմակերպություններին:
Հարձակումը կապվում է Kimsuky հաքերի հետ (aka APT43 կամ Emerald Sleet, Nickel Kimball և Velvet Chollima), որի հետ ասոցացվում է PowerShell հրամանների հետ նմանությունները:
Դեռևս փետրվարի սկզբին Interlab-ը բացահայտեց, որ Հյուսիսային Կորեայի ազգային-պետական հաքերները Android RambleOn malware-ով թիրախավորել են Հարավային Կորեայում գտնվող լրագրողին, որը համարվում էր ինժեներական արշավի մի մաս:
Աղբյուրը՝ https://thehackernews.com/
