Εκπτωτική προσφορά πολλαπλών αδειών
Ασφάλεια Υπολογιστών Βορειοκορεάτες χάκερ αναπτύσσουν νέα θυρίδα VeilShell σε...

Βορειοκορεάτες χάκερ αναπτύσσουν νέα θυρίδα VeilShell σε κρυφές επιθέσεις σε όλη τη Νοτιοανατολική Ασία

Μέχρι το Mura το Ασφάλεια Υπολογιστών
Μετάφραση σε:
Ελληνικά

Σε μια ανατριχιαστική νέα αποκάλυψη, βορειοκορεατικές ομάδες κυβερνοκατασκοπείας εντοπίστηκαν να χρησιμοποιούν ένα νέο κακόβουλο λογισμικό backdoor που ονομάζεται VeilShell για να εκτελεί κρυφές κυβερνοεπιθέσεις σε ολόκληρη τη Νοτιοανατολική Ασία. Οι ειδικοί σε θέματα ασφάλειας έχουν συνδέσει αυτή τη δραστηριότητα με την APT37 , μια διαβόητη ομάδα hacking που λειτουργεί με πολλά ψευδώνυμα, όπως τα InkySquid, Reaper, RedEyes και ScarCruft. Με συνδέσμους με το Υπουργείο Κρατικής Ασφάλειας της Βόρειας Κορέας, το APT37 δραστηριοποιείται από το 2012 και είναι διαβόητο για τις εξελιγμένες εκστρατείες στον κυβερνοχώρο που στοχεύουν σε κυβερνητικούς και εταιρικούς τομείς.

Η καμπάνια SHROUDED#SLEEP

Οι ερευνητές ασφαλείας ονόμασαν αυτήν την τελευταία επιχείρηση SHROUDED#SLEEP, ένα εύστοχο όνομα για τη μυστικότητα και την υπομονή που επιδεικνύουν αυτοί οι εγκληματίες του κυβερνοχώρου. Η ομάδα πιστεύεται ότι πραγματοποιεί αυτή την εκστρατεία με ιδιαίτερη εστίαση στην Καμπότζη και σε άλλες χώρες της Νοτιοανατολικής Ασίας. Με τη μόχλευση του VeilShell, ενός trojan απομακρυσμένης πρόσβασης (RAT) , οι εισβολείς στοχεύουν να αποκτήσουν τον πλήρη έλεγχο των παραβιασμένων μηχανών, με τη δυνατότητα να εκμεταλλεύονται δεδομένα, να χειρίζονται μητρώα συστήματος και να προγραμματίζουν εργασίες κρυφά.

Πώς λειτουργεί το VeilShell;

Μία από τις ξεχωριστές πτυχές αυτής της επίθεσης είναι ο τρόπος με τον οποίο το VeilShell εισέρχεται στα συστήματα στόχων του. Αν και δεν είναι ακόμα σαφές πώς παραδίδεται το αρχικό ωφέλιμο φορτίο, οι ειδικοί υποψιάζονται ότι η ομάδα χρησιμοποιεί ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος - μια εξαιρετικά στοχευμένη μέθοδο εξαπάτησης ατόμων ώστε να κάνουν κλικ σε κακόβουλους συνδέσμους ή να κατεβάσουν μολυσμένα αρχεία. Το ωφέλιμο φορτίο του πρώτου σταδίου πιθανότατα παραδίδεται μέσω ενός αρχείου ZIP που περιέχει ένα αρχείο συντόμευσης των Windows (LNK).

Μόλις ο ανυποψίαστος χρήστης εκκινήσει το αρχείο LNK, ενεργοποιεί μια ακολουθία ενεργειών. Ένας κώδικας PowerShell —μια γλώσσα δέσμης ενεργειών που χρησιμοποιείται συνήθως σε περιβάλλοντα Windows— εκτελείται στα παρασκήνια, εξάγοντας περαιτέρω στοιχεία που είναι κρυμμένα μέσα στο αρχείο. Για να αποφευχθεί η δημιουργία υποψιών, η επίθεση αποσπά την προσοχή του χρήστη με ένα αθώο έγγραφο, όπως ένα αρχείο Microsoft Excel ή PDF, ενώ εγκαθιστά τα πιο επικίνδυνα στοιχεία κακόβουλου λογισμικού στο παρασκήνιο.

Η πραγματική απειλή προέρχεται από το DomainManager.dll, ένα κακόβουλο αρχείο που τοποθετείται στρατηγικά στον φάκελο εκκίνησης των Windows, όπου διασφαλίζει την επιμονή εκτελώντας κάθε φορά που το σύστημα επανεκκινείται. Αυτό το αρχείο επικοινωνεί με έναν απομακρυσμένο διακομιστή εντολών και ελέγχου (C2), δίνοντας στους εισβολείς τον έλεγχο της μολυσμένης συσκευής. Από εκεί, μπορούν να κατασκοπεύουν αρχεία, να ανεβάζουν ευαίσθητα δεδομένα, να κατεβάζουν περισσότερα κακόβουλα εργαλεία, ακόμη και να διαγράφουν ή να μετονομάζουν αρχεία για να καλύψουν τα ίχνη τους.

The AppDomainManager Injection: A Sneaky Technique

Αυτό που ξεχωρίζει αυτήν την επίθεση από άλλες επιθέσεις στον κυβερνοχώρο είναι η έξυπνη χρήση μιας τεχνικής που ονομάζεται AppDomainManager injection. Αν και μπορεί να ακούγεται περίπλοκο, η μέθοδος ουσιαστικά επιτρέπει στους εισβολείς να εκτελούν κακόβουλο κώδικα κάθε φορά που εκκινείται ένα νόμιμο πρόγραμμα, χωρίς να προκαλεί κανέναν συναγερμό. Αυτή η τακτική χρησιμοποιήθηκε πρόσφατα από μια άλλη ομάδα χάκερ που ευθυγραμμίζεται με την Κίνα, υποδεικνύοντας ότι αυτή η τεχνική κερδίζει δημοτικότητα μεταξύ των εγκληματιών του κυβερνοχώρου παγκοσμίως.

The Long Game: How APT37 Evades Detection

Ένας λόγος που αυτή η εκστρατεία έχει μείνει απαρατήρητη για τόσο καιρό είναι η υπομονή των επιτιθέμενων. Μετά την επιτυχή ανάπτυξη του VeilShell, δεν το ενεργοποιούν αμέσως. Αντίθετα, το κακόβουλο λογισμικό παραμένει αδρανές μέχρι να επανεκκινηθεί το σύστημα. Αυτή η καθυστερημένη ενεργοποίηση, σε συνδυασμό με μεγάλους χρόνους ύπνου (παύσεις στην εκτέλεση), καθιστά πιο δύσκολο τον εντοπισμό του κακόβουλου λογισμικού από τα παραδοσιακά εργαλεία ασφαλείας. Αυτές οι τεχνικές βοηθούν τους χάκερ να αποφεύγουν τον εντοπισμό για μεγάλα χρονικά διαστήματα, επιτρέποντάς τους να συλλέγουν πληροφορίες και να διατηρούν τον έλεγχο των παραβιασμένων συστημάτων.

Συνέπειες και μελλοντικές απειλές

Αυτή η πρόσφατη ανακάλυψη προσθέτει στην αυξανόμενη ανησυχία για τις δυνατότητες της Βόρειας Κορέας στον κυβερνοχώρο. Ομάδες όπως οι APT37, Lazarus και Kimsuky έχουν συνδεθεί με κυβερνοεπιθέσεις που χρηματοδοτούνται από το κράτος με στόχο την κατασκοπεία , το οικονομικό κέρδος και το σαμποτάζ. Με την αυξανόμενη χρήση εξελιγμένων εργαλείων όπως το VeilShell, αυτές οι ομάδες αποτελούν σημαντική απειλή για το παγκόσμιο τοπίο της κυβερνοασφάλειας.

Οι ειδικοί προειδοποιούν ότι αυτή η εκστρατεία θα μπορούσε εύκολα να εξαπλωθεί πέρα από τη Νοτιοανατολική Ασία, καθώς οι βορειοκορεατικές ομάδες χάκερ έχουν ιστορικό στόχευσης πολλών περιοχών, συμπεριλαμβανομένων των ΗΠΑ και της Ευρώπης. Στην πραγματικότητα, λίγες μέρες πριν από την ανακάλυψη του VeilShell, μια άλλη βορειοκορεατική ομάδα γνωστή ως Andariel εξαπέλυσε επιθέσεις εναντίον αμερικανικών οργανώσεων σε μια εκστρατεία με οικονομικά κίνητρα.

Προστασία από το VeilShell και παρόμοιες απειλές

Για οργανισμούς και ιδιώτες, αυτό υπογραμμίζει τη σημασία της παραμονής σε επαγρύπνηση έναντι των προσπαθειών spear-phishing και της διασφάλισης ότι όλα τα συστήματα ενημερώνονται τακτικά με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας. Ακολουθούν μερικές συμβουλές για τη μείωση του κινδύνου τέτοιων επιθέσεων:

  1. Να είστε προσεκτικοί με απροσδόκητα μηνύματα ηλεκτρονικού ταχυδρομείου: Εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου με συνημμένο αρχείο ή σύνδεσμο που δεν περιμένατε, σκεφτείτε δύο φορές πριν κάνετε κλικ σε αυτό.
  2. Διατηρήστε το λογισμικό ενημερωμένο: Η τακτική ενημέρωση κώδικα λειτουργικών συστημάτων και εφαρμογών μπορεί να συμβάλει στην κάλυψη των κενών ασφαλείας που εκμεταλλεύονται οι εισβολείς.
  • Χρησιμοποιήστε λογισμικό προστασίας από ιούς: Αν και δεν είναι αλάνθαστο, ένα καλό πρόγραμμα προστασίας από ιούς μπορεί να εντοπίσει και να αποκλείσει πολλές κοινές απειλές.
  • Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων (2FA): Η προσθήκη ενός επιπλέον επιπέδου ασφάλειας καθιστά πιο δύσκολο για τους εισβολείς να αποκτήσουν πρόσβαση, ακόμα κι αν κλέψουν τον κωδικό πρόσβασής σας.

    • Συμπερασματικά, το κακόβουλο λογισμικό VeilShell και η καμπάνια SHROUDED#SLEEP είναι έντονες υπενθυμίσεις των συνεχώς εξελισσόμενων απειλών στον κόσμο της κυβερνοασφάλειας. Παραμένοντας προσεκτικοί και λαμβάνοντας προληπτικά μέτρα ασφαλείας, τα άτομα και οι επιχειρήσεις μπορούν να παραμείνουν ένα βήμα μπροστά από αυτούς τους επικίνδυνους παράγοντες.

    Φόρτωση...