Mitme litsentsi allahindluspakkumine
Arvuti turvalisus Põhja-Korea häkkerid võtavad Kagu-Aasias varjatud...

Põhja-Korea häkkerid võtavad Kagu-Aasias varjatud rünnakuteks kasutusele uue VeilShelli tagaukse

Aastaks Mura aastal Arvuti turvalisus
Tõlgi:
Eesti

Jahutava uue ilmutusena on Põhja-Korea küberspionaažirühmitusi märgatud, kes kasutavad uut tagaukse pahavara nimega VeilShell, et korraldada salajasi küberrünnakuid kogu Kagu-Aasias. Turvaeksperdid on selle tegevuse sidunud APT37- ga, kurikuulsa häkkimisgrupiga, mis tegutseb mitme varjunime all, nagu InkySquid, Reaper, RedEyes ja ScarCruft. APT37, millel on seosed Põhja-Korea riikliku julgeolekuministeeriumiga, on tegutsenud alates 2012. aastast ja on kurikuulus valitsus- ja ärisektorile suunatud keerukate küberkampaaniate poolest.

SHROUDED#SLEEP kampaania

Turvateadlased on nimetanud selle viimase operatsiooni SHROUDED#SLEEP, mis on nende küberkurjategijate vargsi ja kannatlikkust iseloomustav nimi. Arvatakse, et rühm viib seda kampaaniat läbi, keskendudes eelkõige Kambodžale ja teistele Kagu-Aasia riikidele. Kasutades VeilShelli, kaugjuurdepääsu trooja (RAT) , on ründajate eesmärk saavutada täielik kontroll ohustatud masinate üle, võimaldades andmeid välja filtreerida, süsteemiregistreid manipuleerida ja ülesandeid varjatult ajastada.

Kuidas VeilShell töötab?

Selle rünnaku üks silmapaistvamaid aspekte on see, kuidas VeilShell oma sihtsüsteemidesse siseneb. Kuigi on endiselt ebaselge, kuidas esialgne kasulik koormus kohale toimetatakse, kahtlustavad eksperdid, et rühmitus kasutab andmepüügi e-kirju – väga sihitud meetodit, millega meelitatakse inimesi klõpsama pahatahtlikke linke või laadima alla nakatunud faile. Esimese etapi kasulik koormus tarnitakse tõenäoliselt ZIP-arhiivi kaudu, mis sisaldab Windowsi otsetee (LNK) faili.

Kui pahaaimamatu kasutaja käivitab LNK-faili, käivitab see toimingute jada. PowerShelli kood – Windowsi keskkondades tavaliselt kasutatav skriptikeel – töötab kulisside taga, eraldades failis peidetud täiendavad komponendid. Kahtluste tekitamise vältimiseks tõmbab rünnak kasutaja tähelepanu süütu välimusega dokumendiga, näiteks Microsoft Exceli või PDF-failiga, samal ajal installib taustale ohtlikumad pahavara komponendid.

Tõeline oht pärineb DomainManager.dll-st, pahatahtlikust failist, mis on strateegiliselt paigutatud Windowsi käivituskausta, kus see tagab püsivuse, käivitades iga kord, kui süsteem taaskäivitub. See fail suhtleb kaugkäskluse ja juhtimise (C2) serveriga, andes ründajatele kontrolli nakatunud seadme üle. Sealt saavad nad faile luurata, tundlikke andmeid üles laadida, pahatahtlikke tööriistu alla laadida ja isegi faile kustutada või ümber nimetada, et oma jälgesid katta.

AppDomainManageri süstimine: salakaval tehnika

Selle rünnaku eristab teistest küberrünnakutest AppDomainManageri süstimise tehnika nutikas kasutamine. Kuigi see võib tunduda keeruline, võimaldab see meetod sisuliselt ründajatel käivitada pahatahtlikku koodi iga kord, kui seaduslik programm käivitub, ilma häireid esile kutsumata. Seda taktikat kasutas hiljuti teine Hiinaga ühinenud häkkerite rühmitus, mis näitab, et see tehnika on küberkurjategijate seas kogu maailmas populaarsust kogumas.

Pikk mäng: kuidas APT37 tuvastamisest kõrvale hiilib

Üks põhjus, miks see kampaania on nii kaua avastamata, on ründajate kannatlikkus. Pärast VeilShelli edukat juurutamist ei aktiveeri nad seda kohe. Selle asemel seisab pahavara kuni süsteemi taaskäivitamiseni. See viivitatud aktiveerimine koos pikkade uneaegadega (täitmise pausid) muudab pahavara traditsiooniliste turvatööriistade abil raskemini tuvastatavaks. Need tehnikad aitavad häkkeritel vältida avastamist pikka aega, võimaldades neil koguda luureandmeid ja säilitada kontrolli ohustatud süsteemide üle.

Mõjud ja tulevikuohud

See hiljutine avastus suurendab muret Põhja-Korea kübervõimekuse pärast. Selliseid rühmitusi nagu APT37, Lazarus ja Kimsuky on seostatud riigi toetatud küberrünnakutega, mille eesmärk on spionaaž , rahaline kasu ja sabotaaž. Seoses keerukate tööriistade, nagu VeilShell, kasutamisega kujutavad need rühmad märkimisväärset ohtu ülemaailmsele küberjulgeolekumaastikule.

Eksperdid hoiatavad, et see kampaania võib kergesti levida Kagu-Aasiast kaugemale, kuna Põhja-Korea häkkimisrühmitused on varem sihikule võtnud mitut piirkonda, sealhulgas USA-d ja Euroopat. Tegelikult alustas mõni päev enne VeilShelli avastust teine Põhja-Korea rühmitus, tuntud kui Andariel, rahaliselt motiveeritud kampaania raames rünnakuid USA organisatsioonide vastu.

Kaitse VeilShelli ja sarnaste ohtude eest

Organisatsioonide ja üksikisikute jaoks rõhutab see, kui oluline on olla valvsa andmepüügikatsete vastu ja tagada, et kõiki süsteeme värskendatakse regulaarselt uusimate turvapaikadega. Siin on mõned näpunäited selliste rünnakute riski vähendamiseks:

  1. Olge ootamatute meilide suhtes ettevaatlik: kui saate meili failimanuse või lingiga, mida te ei oodanud, mõelge enne sellel klõpsamist kaks korda järele.
  2. Hoidke tarkvara ajakohasena: operatsioonisüsteemide ja rakenduste regulaarne parandamine võib aidata kaotada turvalüngad, mida ründajad ära kasutavad.
  • Kasutage viirusetõrjetarkvara: kuigi hea viirusetõrjeprogramm pole lollikindel, suudab see tuvastada ja blokeerida paljusid levinumaid ohte.
  • Kahefaktorilise autentimise (2FA) lubamine: täiendava turvakihi lisamine muudab ründajatel juurdepääsu raskemaks, isegi kui nad teie parooli varastavad.

    • Kokkuvõtteks võib öelda, et VeilShelli pahavara ja SHROUDED#SLEEP kampaania on terav meeldetuletus küberturvalisuse maailma üha arenevatest ohtudest. Olles ettevaatlik ja rakendades ennetavaid turvameetmeid, saavad üksikisikud ja ettevõtted olla neist ohtlikest osapooltest sammu võrra ees.

    Laadimine...