Севернокорейски хакери внедряват нов VeilShell Backdoor в скрити атаки в Югоизточна Азия

Превод на:

В смразяващо ново разкритие, севернокорейските групи за кибершпионаж бяха забелязани да използват нов злонамерен софтуер със задна вратичка, наречен VeilShell, за извършване на скрити кибератаки в Югоизточна Азия. Експерти по сигурността са свързали тази дейност с APT37 , прословута хакерска група, работеща под множество псевдоними, като InkySquid, Reaper, RedEyes и ScarCruft. С връзки към Министерството на държавната сигурност на Северна Корея, APT37 е активен от 2012 г. и е известен със своите сложни кибер кампании, насочени към правителствени и корпоративни сектори.

Съдържание

Кампанията ЗАКРИТ#СЪН

Изследователите по сигурността са нарекли тази последна операция СКРИТА#СЪН, подходящо име за стелтостта и търпението, демонстрирани от тези киберпрестъпници. Смята се, че групата провежда тази кампания със специфичен фокус върху Камбоджа и други страни в Югоизточна Азия. Използвайки VeilShell, троянски кон за отдалечен достъп (RAT) , нападателите се стремят да получат пълен контрол върху компрометирани машини, с възможност за ексфилтриране на данни, манипулиране на системни регистри и скрито планиране на задачи.

Как работи VeilShell?

Един от забележителните аспекти на тази атака е как VeilShell влиза в целевите си системи. Въпреки че все още не е ясно как се доставя първоначалният полезен товар, експертите подозират, че групата използва имейли за фишинг – силно целенасочен метод за подмамване на лица да кликнат върху злонамерени връзки или да изтеглят заразени файлове. Полезният товар от първия етап вероятно се доставя чрез ZIP архив, съдържащ файл с пряк път на Windows (LNK).

След като нищо неподозиращият потребител стартира LNK файла, той задейства последователност от действия. Кодът на PowerShell – скриптов език, често използван в средите на Windows – работи зад кулисите, извличайки допълнителни компоненти, скрити във файла. За да се избегне пораждането на подозрение, атаката отвлича вниманието на потребителя с невинно изглеждащ документ, като Microsoft Excel или PDF файл, докато инсталира по-опасните компоненти на зловреден софтуер във фонов режим.

Истинската заплаха идва от DomainManager.dll, злонамерен файл, стратегически поставен в папката за стартиране на Windows, където осигурява устойчивост, като се изпълнява всеки път, когато системата се рестартира. Този файл комуникира с отдалечен командно-контролен (C2) сървър, давайки на атакуващите контрол над заразеното устройство. Оттам те могат да шпионират файлове, да качват чувствителни данни, да изтеглят още злонамерени инструменти и дори да изтриват или преименуват файлове, за да прикрият следите си.

Инжектирането на AppDomainManager: Подла техника

Това, което отличава тази атака от другите кибератаки, е умното използване на техника, наречена инжектиране на AppDomainManager. Въпреки че може да звучи сложно, методът по същество позволява на атакуващите да изпълняват злонамерен код всеки път, когато се стартира легитимна програма, без да предизвиква никакви аларми. Тази тактика наскоро беше използвана от друга хакерска група, свързана с Китай, което показва, че тази техника набира популярност сред киберпрестъпниците по целия свят.

Дългата игра: Как APT37 избягва откриването

Една от причините тази кампания да остане незабелязана толкова дълго е търпението на нападателите. След успешно внедряване на VeilShell, те не го активират веднага. Вместо това злонамереният софтуер лежи в латентно състояние, докато системата се рестартира. Това забавено активиране, съчетано с дълги времена на заспиване (паузи в изпълнението), прави злонамерения софтуер по-труден за откриване от традиционните инструменти за сигурност. Тези техники помагат на хакерите да избегнат откриването за дълги периоди, което им позволява да събират информация и да поддържат контрол върху компрометираните системи.

Последици и бъдещи заплахи

Това скорошно откритие засилва нарастващата загриженост за кибернетичния капацитет на Северна Корея. Групи като APT37, Lazarus и Kimsuky са свързани с държавно спонсорирани кибератаки, насочени към шпионаж , финансови печалби и саботаж. С нарастващото използване на сложни инструменти като VeilShell, тези групи представляват значителна заплаха за глобалния ландшафт на киберсигурността.

Експертите предупреждават, че тази кампания може лесно да се разпространи извън Югоизточна Азия, тъй като севернокорейските хакерски групи имат история на насочване към множество региони, включително САЩ и Европа. Всъщност, само дни преди откриването на VeilShell, друга севернокорейска група, известна като Andariel, започна атаки срещу американски организации във финансово мотивирана кампания.

Защита срещу VeilShell и подобни заплахи

За организациите и отделните лица това подчертава колко е важно да бъдат бдителни срещу опити за фишинг и да гарантират, че всички системи се актуализират редовно с най-новите корекции за сигурност. Ето няколко съвета за намаляване на риска от подобни атаки:

Внимавайте с неочаквани имейли: Ако получите имейл с прикачен файл или връзка, която не сте очаквали, помислете два пъти, преди да щракнете върху него.
Поддържайте софтуера актуален: Редовното коригиране на операционни системи и приложения може да помогне за затваряне на пропуски в сигурността, които нападателите използват.

Използвайте антивирусен софтуер: Въпреки че не е безупречна, добрата антивирусна програма може да открие и блокира много често срещани заплахи.

Активиране на двуфакторно удостоверяване (2FA): Добавянето на допълнителен слой на защита затруднява достъпа на нападателите, дори ако откраднат паролата ви.

В заключение, зловредният софтуер VeilShell и кампанията SHROUDED#SLEEP са ярки напомняния за непрекъснато развиващите се заплахи в света на киберсигурността. Като останат предпазливи и предприемат проактивни мерки за сигурност, хората и фирмите могат да бъдат една крачка пред тези опасни участници.

SpyHunter за Windows на EnigmaSoft получи AV-TEST сертификат

Търсене

Промяна на региона