Severokorejští hackeři nasadili nová zadní vrátka VeilShell při tajných útocích v jihovýchodní Asii

V roce Mura v roce Počítačová bezpečnost

Přeložit do:

V mrazivém novém odhalení byly spatřeny severokorejské kyberšpionážní skupiny, které používají nový backdoor malware nazvaný VeilShell k provádění tajných kybernetických útoků v jihovýchodní Asii. Bezpečnostní experti spojili tuto aktivitu s APT37 , notoricky známou hackerskou skupinou fungující pod různými aliasy, jako jsou InkySquid, Reaper, RedEyes a ScarCruft. S napojením na severokorejské ministerstvo státní bezpečnosti je APT37 aktivní od roku 2012 a je proslulý svými sofistikovanými kybernetickými kampaněmi zaměřenými na vládní a firemní sektor.

Obsah

Kampaň SHROUDED#SLEEP

Bezpečnostní výzkumníci nazvali tuto nejnovější operaci SHROUDED#SLEEP, což je výstižný název pro tajnost a trpělivost, kterou tito kyberzločinci prokázali. Předpokládá se, že skupina provádí tuto kampaň se specifickým zaměřením na Kambodžu a další země jihovýchodní Asie. Využitím VeilShell, trojského koně pro vzdálený přístup (RAT) , se útočníci snaží získat plnou kontrolu nad napadenými stroji se schopností exfiltrovat data, manipulovat se systémovými registry a skrytě plánovat úlohy.

Jak VeilShell funguje?

Jedním z výjimečných aspektů tohoto útoku je způsob, jakým VeilShell vstupuje do svých cílových systémů. I když stále není jasné, jak je doručováno počáteční užitečné zatížení, odborníci se domnívají, že skupina používá e-maily typu spear-phishing – vysoce cílená metoda, jak přimět jednotlivce, aby klikali na škodlivé odkazy nebo stahovali infikované soubory. Užitná část první fáze je pravděpodobně doručena prostřednictvím archivu ZIP obsahujícího soubor zástupce systému Windows (LNK).

Jakmile nic netušící uživatel spustí soubor LNK, spustí se sekvence akcí. Kód PowerShellu – skriptovací jazyk běžně používaný v prostředích Windows – běží za scénou a extrahuje další součásti skryté v souboru. Aby se předešlo podezření, útok odvádí pozornost uživatele nevinně vypadajícím dokumentem, jako je soubor Microsoft Excel nebo PDF, zatímco na pozadí instaluje nebezpečnější součásti malwaru.

Skutečná hrozba pochází z DomainManager.dll, škodlivého souboru strategicky umístěného ve spouštěcí složce Windows, kde zajišťuje stálost spuštěním při každém restartu systému. Tento soubor komunikuje se vzdáleným serverem pro příkazy a řízení (C2) a dává útočníkům kontrolu nad infikovaným zařízením. Odtud mohou špehovat soubory, nahrávat citlivá data, stahovat další škodlivé nástroje a dokonce mazat nebo přejmenovávat soubory, aby zakryli stopy.

AppDomainManager Injection: Záludná technika

To, co odlišuje tento útok od ostatních kybernetických útoků, je chytré použití techniky zvané AppDomainManager injection. I když to může znít složitě, tato metoda v podstatě umožňuje útočníkům spustit škodlivý kód pokaždé, když se spustí legitimní program, aniž by vyvolal jakýkoli poplach. Tato taktika byla nedávno použita jinou hackerskou skupinou spojenou s Čínou, což naznačuje, že tato technika získává na popularitě mezi kyberzločinci po celém světě.

Dlouhá hra: Jak se APT37 vyhýbá detekci

Jedním z důvodů, proč byla tato kampaň tak dlouho neodhalena, je trpělivost útočníků. Po úspěšném nasazení VeilShell jej neaktivují hned. Místo toho malware spí, dokud není systém restartován. Tato opožděná aktivace v kombinaci s dlouhými dobami spánku (pauzy v provádění) ztěžuje detekci malwaru tradičními bezpečnostními nástroji. Tyto techniky pomáhají hackerům vyhýbat se detekci po dlouhou dobu, což jim umožňuje shromažďovat informace a udržovat kontrolu nad napadenými systémy.

Důsledky a budoucí hrozby

Tento nedávný objev přispívá k rostoucímu znepokojení nad kybernetickými schopnostmi Severní Koreje. Skupiny jako APT37, Lazarus a Kimsuky byly všechny napojeny na státem podporované kybernetické útoky zaměřené na špionáž , finanční zisk a sabotáž. S rostoucím používáním sofistikovaných nástrojů, jako je VeilShell, tyto skupiny představují významnou hrozbu pro globální prostředí kybernetické bezpečnosti.

Experti varují, že tato kampaň by se mohla snadno rozšířit za hranice jihovýchodní Asie, protože severokorejské hackerské skupiny se v minulosti zaměřovaly na více regionů, včetně USA a Evropy. Ve skutečnosti jen několik dní před objevem VeilShell zahájila další severokorejská skupina známá jako Andariel útoky proti americkým organizacím ve finančně motivované kampani.

Ochrana před VeilShell a podobnými hrozbami

Pro organizace a jednotlivce to zdůrazňuje, že je důležité zůstat ostražití před pokusy o spear-phishing a zajistit, aby byly všechny systémy pravidelně aktualizovány nejnovějšími bezpečnostními záplatami. Zde je několik tipů, jak snížit riziko takových útoků:

Dejte si pozor na neočekávané e-maily: Pokud obdržíte e-mail s přílohou souboru nebo odkazem, který jste nečekali, dvakrát si to rozmyslete, než na něj kliknete.
Udržujte software aktuální: Pravidelné opravy operačních systémů a aplikací mohou pomoci zacelit bezpečnostní mezery, které útočníci zneužívají.

Používejte antivirový software: I když dobrý antivirový program není spolehlivý, dokáže detekovat a blokovat mnoho běžných hrozeb.

Povolit dvoufaktorové ověřování (2FA): Přidání další vrstvy zabezpečení znesnadňuje útočníkům získat přístup, a to i v případě, že ukradnou vaše heslo.

Na závěr lze říci, že malware VeilShell a kampaň SHROUDED#SLEEP jasně připomínají neustále se vyvíjející hrozby ve světě kybernetické bezpečnosti. Zůstanou-li opatrní a přijmou proaktivní bezpečnostní opatření, mohou jednotlivci a podniky zůstat o krok napřed před těmito nebezpečnými aktéry.

SpyHunter pro Windows společnosti EnigmaSoft dosáhl certifikace AV-TEST

Vyhledávání

Změnit region