Els pirates informàtics de Corea del Nord despleguen una nova porta posterior VeilShell en atacs furtius al sud-est asiàtic
En una nova revelació esgarrifosa, els grups de ciberespionatge de Corea del Nord han estat detectats fent servir un nou programari maliciós de porta posterior anomenat VeilShell per executar ciberatacs sigilosos al sud-est asiàtic. Els experts en seguretat han vinculat aquesta activitat a APT37 , un famós grup de pirateria informàtica que opera sota diversos àlies, com ara InkySquid, Reaper, RedEyes i ScarCruft. Amb enllaços amb el Ministeri de Seguretat de l'Estat de Corea del Nord, APT37 està actiu des del 2012 i és conegut per les seves sofisticades campanyes cibernètiques dirigides als sectors governamentals i corporatius.
Taula de continguts
La campanya SHROUDED#SLEEP
Els investigadors de seguretat han batejat aquesta darrera operació SHROUDED#SLEEP, un nom encertat per al sigil i la paciència que demostren aquests ciberdelinqüents. Es creu que el grup duu a terme aquesta campanya amb un enfocament específic a Cambodja i altres països del sud-est asiàtic. Mitjançant l'aprofitament de VeilShell, un troià d'accés remot (RAT) , els atacants pretenen obtenir el control total de les màquines compromeses, amb la capacitat d'exfiltrar dades, manipular els registres del sistema i programar tasques encobertes.
Com funciona VeilShell?
Un dels aspectes més destacats d'aquest atac és com VeilShell entra als seus sistemes objectiu. Tot i que encara no està clar com es lliura la càrrega útil inicial, els experts sospiten que el grup utilitza correus electrònics de pesca de pesca, un mètode molt específic per enganyar els individus perquè facin clic a enllaços maliciosos o baixin fitxers infectats. És probable que la càrrega útil de la primera etapa es lliura mitjançant un arxiu ZIP que conté un fitxer de drecera de Windows (LNK).
Un cop l'usuari desprevingut llança el fitxer LNK, activa una seqüència d'accions. Un codi PowerShell, un llenguatge de programació que s'utilitza habitualment en entorns Windows, s'executa darrere de les escenes, extreu altres components amagats dins del fitxer. Per evitar aixecar sospita, l'atac distreu l'usuari amb un document d'aspecte innocent, com ara un fitxer Microsoft Excel o PDF, mentre instal·la els components de programari maliciós més perillosos en segon pla.
L'amenaça real prové de DomainManager.dll, un fitxer maliciós col·locat estratègicament a la carpeta d'inici de Windows, on garanteix la persistència executant-se cada vegada que es reinicia el sistema. Aquest fitxer es comunica amb un servidor de comandament i control remot (C2), donant als atacants control sobre el dispositiu infectat. A partir d'aquí, poden espiar fitxers, carregar dades sensibles, descarregar més eines malicioses i fins i tot suprimir o canviar el nom dels fitxers per cobrir les seves pistes.
La injecció d'AppDomainManager: una tècnica furtiva
El que diferencia aquest atac d'altres ciberatacs és l'ús intel·ligent d'una tècnica anomenada injecció AppDomainManager. Tot i que pot semblar complex, el mètode bàsicament permet als atacants executar codi maliciós cada vegada que s'inicia un programa legítim, sense activar cap alarma. Aquesta tàctica va ser utilitzada recentment per un altre grup de pirates informàtics alineat amb la Xina, cosa que indica que aquesta tècnica està guanyant popularitat entre els ciberdelinqüents de tot el món.
El joc llarg: com APT37 evita la detecció
Una de les raons per les quals aquesta campanya ha passat desapercebuda durant tant de temps és la paciència dels atacants. Després de desplegar VeilShell amb èxit, no l'activen immediatament. En canvi, el programari maliciós roman inactiu fins que es reinicia el sistema. Aquesta activació retardada, combinada amb temps de son llargs (pauses en l'execució), fa que el programari maliciós sigui més difícil de detectar per les eines de seguretat tradicionals. Aquestes tècniques ajuden els pirates informàtics a evitar la detecció durant llargs períodes, cosa que els permet recollir intel·ligència i mantenir el control sobre els sistemes compromesos.
Implicacions i amenaces futures
Aquest recent descobriment s'afegeix a la creixent preocupació per les capacitats cibernètiques de Corea del Nord. Grups com APT37, Lazarus i Kimsuky s'han relacionat amb ciberatacs patrocinats per l'estat dirigits a l'espionatge , guanys financers i sabotatge. Amb l'ús creixent d'eines sofisticades com VeilShell, aquests grups representen una amenaça important per al panorama global de la ciberseguretat.
Els experts adverteixen que aquesta campanya es podria estendre fàcilment més enllà del sud-est asiàtic, ja que els grups de pirateria de Corea del Nord tenen un historial d'orientació a diverses regions, inclosos els EUA i Europa. De fet, pocs dies abans del descobriment de VeilShell, un altre grup nord-coreà conegut com Andariel va llançar atacs contra organitzacions nord-americanes en una campanya motivada econòmicament.
Protecció contra VeilShell i amenaces similars
Per a les organitzacions i els particulars, això posa de manifest la importància de mantenir-se vigilant contra els intents de pesca de pesca i assegurar-se que tots els sistemes s'actualitzen regularment amb els darrers pedaços de seguretat. Aquests són alguns consells per reduir el risc d'aquests atacs:
- Aneu amb compte amb els correus electrònics inesperats: si rebeu un correu electrònic amb un fitxer adjunt o un enllaç que no esperàveu, penseu-hi dues vegades abans de fer-hi clic.
- Mantenir el programari actualitzat: aplicar pedaços regulars als sistemes operatius i a les aplicacions pot ajudar a tancar les llacunes de seguretat que exploten els atacants.
En conclusió, el programari maliciós VeilShell i la campanya SHROUDED#SLEEP són un clar recordatori de les amenaces en constant evolució al món de la ciberseguretat. Si es mantenen prudents i prenen mesures de seguretat proactives, les persones i les empreses poden mantenir-se un pas per davant d'aquests agents perillosos.