Rabattilbud med flere licenser
Computersikkerhed Nordkoreanske hackere implementerer ny VeilShell-bagdør i...

Nordkoreanske hackere implementerer ny VeilShell-bagdør i snigende angreb i hele Sydøstasien

Med Mura i Computersikkerhed
Oversæt til:
Dansk

I en rystende ny afsløring er nordkoreanske cyberspionagegrupper blevet set, der bruger en ny bagdør-malware kaldet VeilShell til at udføre snigende cyberangreb i hele Sydøstasien. Sikkerhedseksperter har knyttet denne aktivitet til APT37 , en berygtet hackergruppe, der opererer under flere aliaser, såsom InkySquid, Reaper, RedEyes og ScarCruft. Med forbindelser til Nordkoreas ministerium for statssikkerhed har APT37 været aktiv siden 2012 og er berygtet for sine sofistikerede cyberkampagner rettet mod statslige og erhvervsmæssige sektorer.

SHROUDED#SLEEP-kampagnen

Sikkerhedsforskere har døbt denne seneste operation SHROUDED#SLEEP, et passende navn for den stealth og tålmodighed, som disse cyberkriminelle viser. Gruppen menes at gennemføre denne kampagne med et specifikt fokus på Cambodja og andre lande i Sydøstasien. Ved at udnytte VeilShell, en remote access trojan (RAT) , sigter angriberne på at få fuld kontrol over kompromitterede maskiner, med evnen til at eksfiltrere data, manipulere systemregistre og planlægge opgaver skjult.

Hvordan virker VeilShell?

Et af de iøjnefaldende aspekter af dette angreb er, hvordan VeilShell kommer ind i sine målsystemer. Selvom det stadig er uklart, hvordan den indledende nyttelast leveres, har eksperter mistanke om, at gruppen bruger spear-phishing-e-mails – en meget målrettet metode til at narre enkeltpersoner til at klikke på ondsindede links eller downloade inficerede filer. Nyttelasten i første trin leveres sandsynligvis via et ZIP-arkiv, der indeholder en Windows-genvejsfil (LNK).

Når den intetanende bruger starter LNK-filen, udløser den en række handlinger. En PowerShell-kode - et scriptsprog, der almindeligvis bruges i Windows-miljøer - kører bag kulisserne og udtrækker yderligere komponenter skjult i filen. For at undgå at vække mistanke distraherer angrebet brugeren med et uskyldigt udseende dokument, såsom en Microsoft Excel- eller PDF-fil, mens det installerer de farligere malware-komponenter i baggrunden.

Den virkelige trussel kommer fra DomainManager.dll, en ondsindet fil strategisk placeret i Windows-startmappen, hvor den sikrer vedholdenhed ved at køre hver gang systemet genstarter. Denne fil kommunikerer med en fjernkommando-og-kontrol-server (C2), hvilket giver angriberne kontrol over den inficerede enhed. Derfra kan de spionere på filer, uploade følsomme data, downloade flere ondsindede værktøjer og endda slette eller omdøbe filer for at dække deres spor.

AppDomainManager Injection: En lusket teknik

Det, der adskiller dette angreb fra andre cyberangreb, er den smarte brug af en teknik kaldet AppDomainManager injection. Selvom det kan lyde komplekst, tillader metoden i det væsentlige angribere at køre ondsindet kode, hver gang et legitimt program starter, uden at udløse alarmer. Denne taktik blev for nylig brugt af en anden hackergruppe på linje med Kina, hvilket indikerer, at denne teknik vinder popularitet blandt cyberkriminelle verden over.

Det lange spil: Hvordan APT37 undgår detektion

En af grundene til, at denne kampagne har været uopdaget så længe, er angribernes tålmodighed. Efter succesfuld implementering af VeilShell, aktiverer de det ikke med det samme. I stedet ligger malwaren i dvale, indtil systemet genstartes. Denne forsinkede aktivering, kombineret med lange søvntider (pauser i udførelse), gør malware sværere at opdage med traditionelle sikkerhedsværktøjer. Disse teknikker hjælper hackerne med at undgå opdagelse i lange perioder, hvilket giver dem mulighed for at indsamle efterretninger og bevare kontrol over de kompromitterede systemer.

Implikationer og fremtidige trusler

Denne nylige opdagelse bidrager til den voksende bekymring over Nordkoreas cyberkapacitet. Grupper som APT37, Lazarus og Kimsuky er alle blevet forbundet med statssponsorerede cyberangreb rettet mod spionage , økonomisk vinding og sabotage. Med den stigende brug af sofistikerede værktøjer som VeilShell udgør disse grupper en væsentlig trussel mod det globale cybersikkerhedslandskab.

Eksperter advarer om, at denne kampagne let kan sprede sig ud over Sydøstasien, da nordkoreanske hackergrupper har en historie med at målrette mod flere regioner, inklusive USA og Europa. Faktisk lancerede en anden nordkoreansk gruppe kendt som Andariel få dage før VeilShell-fundet angreb mod amerikanske organisationer i en økonomisk motiveret kampagne.

Beskyttelse mod VeilShell og lignende trusler

For organisationer og enkeltpersoner understreger dette vigtigheden af at være på vagt over for spyd-phishing-forsøg og sikre, at alle systemer regelmæssigt opdateres med de nyeste sikkerhedsrettelser. Her er et par tips til at reducere risikoen for sådanne angreb:

  1. Vær på vagt over for uventede e-mails: Hvis du modtager en e-mail med en vedhæftet fil eller et link, du ikke havde forventet, så tænk dig om to gange, før du klikker på det.
  2. Hold software opdateret: Regelmæssig patchning af operativsystemer og applikationer kan hjælpe med at lukke sikkerhedshuller, som angribere udnytter.
  • Brug antivirussoftware: Selvom det ikke er idiotsikkert, kan et godt antivirusprogram opdage og blokere mange almindelige trusler.
  • Aktiver tofaktorautentificering (2FA): Tilføjelse af et ekstra sikkerhedslag gør det sværere for angribere at få adgang, selvom de stjæler din adgangskode.

    • Som konklusion er VeilShell-malwaren og SHROUDED#SLEEP-kampagnen skarpe påmindelser om de stadigt udviklende trusler i cybersikkerhedens verden. Ved at forblive forsigtig og tage proaktive sikkerhedsforanstaltninger kan enkeltpersoner og virksomheder være et skridt foran disse farlige aktører.

    Indlæser...