هکرهای کره شمالی درب پشتی جدید VeilShell را در حملات مخفیانه در سراسر جنوب شرق آسیا مستقر کردند.

در یک افشاگری وحشتناک جدید، گروه‌های جاسوسی سایبری کره شمالی با استفاده از یک بدافزار جدید به نام VeilShell برای اجرای حملات سایبری مخفیانه در سراسر آسیای جنوب شرقی مشاهده شدند. کارشناسان امنیتی این فعالیت را با APT37 ، یک گروه هک بدنام که تحت نام‌های مستعار متعددی مانند InkySquid، Reaper، RedEyes و ScarCruft فعالیت می‌کنند، مرتبط کرده‌اند. APT37 با ارتباط با وزارت امنیت دولتی کره شمالی از سال 2012 فعال بوده و به خاطر کمپین های سایبری پیچیده خود که بخش های دولتی و شرکتی را هدف قرار می دهد، بدنام است.

کمپین SHROUDED#SLEEP

محققان امنیتی این آخرین عملیات را SHROUDED#SLEEP نام گذاری کرده اند، نامی مناسب برای پنهان کاری و صبری که توسط این مجرمان سایبری نشان داده شده است. اعتقاد بر این است که این گروه این کمپین را با تمرکز ویژه بر کامبوج و سایر کشورهای جنوب شرقی آسیا انجام می دهد. هدف مهاجمان با استفاده از VeilShell، یک تروجان دسترسی از راه دور (RAT) ، کنترل کامل ماشین‌های در معرض خطر، با توانایی استخراج داده‌ها، دستکاری رجیستری‌های سیستم و برنامه‌ریزی مخفیانه وظایف است.

VeilShell چگونه کار می کند؟

یکی از جنبه های برجسته این حمله نحوه ورود VeilShell به سیستم های هدف خود است. در حالی که هنوز مشخص نیست که بار اولیه چگونه تحویل داده می شود، کارشناسان گمان می کنند که این گروه از ایمیل های فیشینگ نیزه ای استفاده می کند - روشی بسیار هدفمند برای فریب دادن افراد به کلیک کردن روی لینک های مخرب یا دانلود فایل های آلوده. محموله مرحله اول احتمالاً از طریق یک آرشیو ZIP حاوی یک فایل میانبر ویندوز (LNK) تحویل داده می شود.

هنگامی که کاربر ناآگاه فایل LNK را راه اندازی می کند، دنباله ای از اقدامات را آغاز می کند. یک کد PowerShell - یک زبان برنامه نویسی که معمولاً در محیط های ویندوز استفاده می شود - در پشت صحنه اجرا می شود و اجزای بیشتری را که در فایل پنهان شده اند استخراج می کند. برای جلوگیری از ایجاد سوء ظن، این حمله با سندی بی‌گناه مانند مایکروسافت اکسل یا فایل PDF حواس کاربر را پرت می‌کند، در حالی که اجزای بدافزار خطرناک‌تر را در پس‌زمینه نصب می‌کند.

تهدید واقعی از DomainManager.dll می آید، یک فایل مخرب که به صورت استراتژیک در پوشه راه اندازی ویندوز قرار می گیرد، جایی که با اجرای هر بار راه اندازی مجدد سیستم، پایداری را تضمین می کند. این فایل با یک سرور فرمان و کنترل از راه دور (C2) ارتباط برقرار می کند و به مهاجمان کنترل دستگاه آلوده را می دهد. از آنجا می‌توانند فایل‌ها را جاسوسی کنند، داده‌های حساس را آپلود کنند، ابزارهای مخرب بیشتری را دانلود کنند و حتی فایل‌ها را حذف یا تغییر نام دهند تا ردیابی‌های خود را پوشش دهند.

تزریق AppDomainManager: یک تکنیک یواشکی

آنچه این حمله را از سایر حملات سایبری متمایز می کند، استفاده هوشمندانه از تکنیکی به نام AppDomainManager injection است. اگرچه ممکن است پیچیده به نظر برسد، این روش اساساً به مهاجمان اجازه می‌دهد تا هر بار که یک برنامه قانونی راه‌اندازی می‌شود، کدهای مخرب را بدون ایجاد هیچ هشداری اجرا کنند. این تاکتیک اخیراً توسط یک گروه هکر دیگر همسو با چین به کار گرفته شده است که نشان می دهد این تکنیک در بین مجرمان سایبری در سراسر جهان محبوبیت پیدا می کند.

بازی طولانی: چگونه APT37 از تشخیص فرار می کند

یکی از دلایلی که این کمپین برای مدت طولانی ناشناخته مانده است، صبر مهاجمان است. پس از استقرار موفقیت آمیز VeilShell، آنها بلافاصله آن را فعال نمی کنند. در عوض، بدافزار تا زمانی که سیستم راه‌اندازی مجدد نشود، غیرفعال است. این فعال‌سازی تاخیری، همراه با زمان‌های خواب طولانی (مکث در اجرا)، تشخیص بدافزار را توسط ابزارهای امنیتی سنتی سخت‌تر می‌کند. این تکنیک‌ها به هکرها کمک می‌کند تا برای مدت طولانی از شناسایی خودداری کنند و به آن‌ها اجازه می‌دهد اطلاعات را جمع‌آوری کنند و کنترل سیستم‌های در معرض خطر را حفظ کنند.

پیامدها و تهدیدات آینده

این کشف اخیر به نگرانی فزاینده در مورد قابلیت های سایبری کره شمالی می افزاید. گروه هایی مانند APT37، Lazarus و Kimsuky همگی با حملات سایبری حمایت شده از سوی دولت با هدف جاسوسی ، سود مالی و خرابکاری مرتبط بوده اند. با استفاده روزافزون از ابزارهای پیچیده مانند VeilShell، این گروه ها تهدید قابل توجهی برای چشم انداز امنیت سایبری جهانی هستند.

کارشناسان هشدار می دهند که این کمپین می تواند به راحتی فراتر از آسیای جنوب شرقی گسترش یابد، زیرا گروه های هکر کره شمالی سابقه هدف قرار دادن مناطق مختلف از جمله ایالات متحده و اروپا را دارند. در واقع، تنها چند روز قبل از کشف VeilShell، یک گروه دیگر کره شمالی به نام Andariel حملاتی را علیه سازمان های آمریکایی در یک کمپین با انگیزه مالی آغاز کرد.

محافظت در برابر VeilShell و تهدیدهای مشابه

برای سازمان‌ها و افراد، این اهمیت هوشیاری در برابر تلاش‌های فیشینگ نیزه و اطمینان از اینکه همه سیستم‌ها به‌طور منظم با آخرین وصله‌های امنیتی به‌روزرسانی می‌شوند را برجسته می‌کند. در اینجا چند نکته برای کاهش خطر چنین حملاتی وجود دارد:

1. مراقب ایمیل‌های غیرمنتظره باشید: اگر ایمیلی حاوی پیوست فایل یا پیوندی دریافت کردید که انتظارش را نداشتید، قبل از کلیک کردن روی آن دو بار فکر کنید.
2. نرم افزار را به روز نگه دارید: وصله منظم سیستم عامل ها و برنامه ها می تواند به رفع شکاف های امنیتی که مهاجمان از آنها سوء استفاده می کنند کمک کند.

در نتیجه، بدافزار VeilShell و کمپین SHROUDED#SLEEP یادآور تهدیدات همیشه در حال تکامل در دنیای امنیت سایبری هستند. با محتاط ماندن و انجام اقدامات امنیتی پیشگیرانه، افراد و مشاغل می توانند یک قدم جلوتر از این بازیگران خطرناک باقی بمانند.