Pohjoiskorealaiset hakkerit ottavat käyttöön uuden VeilShell-takaoven salaisiin hyökkäyksiin Kaakkois-Aasiassa

Jäähdyttävänä uudessa paljastuksessa pohjoiskorealaiset kybervakoiluryhmät on havaittu käyttävän uutta takaoven haittaohjelmaa nimeltä VeilShell salaisten kyberhyökkäyksiä Kaakkois-Aasiassa. Tietoturvaasiantuntijat ovat yhdistäneet tämän toiminnan APT37 :ään, pahamaineiseen hakkerointiryhmään, joka toimii useilla aliaksilla, kuten InkySquid, Reaper, RedEyes ja ScarCruft. APT37:llä on yhteyksiä Pohjois-Korean valtion turvallisuusministeriöön, ja se on ollut aktiivinen vuodesta 2012, ja se on tunnettu kehittyneistä kyberkampanjoistaan, jotka on kohdistettu valtion ja yritysten sektoreille.

SHOUDED#SLEEP -kampanja

Tietoturvatutkijat ovat nimenneet tämän viimeisimmän operaation SHROUDED#SLEEP:ksi, joka on osuva nimi näiden kyberrikollisten osoittamalle vaikeudelle ja kärsivällisyydelle. Ryhmän uskotaan toteuttavan tätä kampanjaa keskittyen erityisesti Kambodžaan ja muihin Kaakkois-Aasian maihin. Hyödyntämällä VeilShellia, etäkäyttötroijalaista (RAT) , hyökkääjät pyrkivät saamaan täydellisen hallinnan vaarantuneet koneet, joilla on mahdollisuus suodattaa tietoja, käsitellä järjestelmän rekistereitä ja ajoittaa tehtäviä salaisesti.

Miten VeilShell toimii?

Yksi tämän hyökkäyksen erottuvista näkökohdista on se, miten VeilShell saapuu kohdejärjestelmiinsä. Vaikka on edelleen epäselvää, kuinka alkuperäinen hyötykuorma toimitetaan, asiantuntijat epäilevät, että ryhmä käyttää keihäshuijaussähköposteja – erittäin kohdennettua tapaa huijata ihmisiä napsauttamaan haitallisia linkkejä tai lataamaan tartunnan saaneita tiedostoja. Ensimmäisen vaiheen hyötykuorma toimitetaan todennäköisesti ZIP-arkiston kautta, joka sisältää Windowsin pikakuvaketiedoston (LNK).

Kun hyväuskoinen käyttäjä käynnistää LNK-tiedoston, se käynnistää toimintosarjan. PowerShell-koodi – Windows-ympäristöissä yleisesti käytetty komentosarjakieli – toimii kulissien takana ja purkaa muita tiedostoon piilotettuja osia. Epäilysten välttämiseksi hyökkäys häiritsee käyttäjää viattoman näköisellä asiakirjalla, kuten Microsoft Excel- tai PDF-tiedostolla, samalla kun se asentaa vaarallisimmat haittaohjelmakomponentit taustalle.

Todellinen uhka tulee DomainManager.dll-tiedostosta, haitallisesta tiedostosta, joka on strategisesti sijoitettu Windowsin käynnistyskansioon, jossa se varmistaa pysyvyyden suorittamalla joka kerta, kun järjestelmä käynnistyy uudelleen. Tämä tiedosto kommunikoi etäkomento- ja ohjauspalvelimen (C2) kanssa, jolloin hyökkääjät voivat hallita tartunnan saaneen laitteen. Sieltä he voivat vakoilla tiedostoja, ladata arkaluontoisia tietoja, ladata lisää haitallisia työkaluja ja jopa poistaa tai nimetä uudelleen tiedostoja peittääkseen jälkensä.

AppDomainManager-injektio: harhaanjohtava tekniikka

Tämän hyökkäyksen erottaa muista kyberhyökkäyksistä AppDomainManager-injektio-nimisen tekniikan fiksu käyttö. Vaikka menetelmä saattaa kuulostaa monimutkaiselta, se antaa hyökkääjille mahdollisuuden suorittaa haitallista koodia joka kerta, kun laillinen ohjelma käynnistetään, ilman hälytyksiä. Tätä taktiikkaa käytti äskettäin toinen Kiinan kanssa linjassa oleva hakkeriryhmä, mikä osoittaa, että tämä tekniikka on saamassa suosiota kyberrikollisten keskuudessa maailmanlaajuisesti.

Pitkä peli: Kuinka APT37 välttelee havaitsemista

Yksi syy, miksi tämä kampanja on jäänyt huomaamatta niin pitkään, on hyökkääjien kärsivällisyys. VeilShellin onnistuneen käyttöönoton jälkeen he eivät aktivoi sitä heti. Sen sijaan haittaohjelma on lepotilassa, kunnes järjestelmä käynnistetään uudelleen. Tämä viivästynyt aktivointi yhdistettynä pitkiin lepotilaaikoihin (suorituksen taukoja) tekee haittaohjelmista vaikeampaa havaita perinteisillä suojaustyökaluilla. Nämä tekniikat auttavat hakkereita välttämään havaitsemista pitkiä aikoja, jolloin he voivat kerätä tietoja ja ylläpitää hallintaansa vaarantuneiden järjestelmien yli.

Seuraukset ja tulevaisuuden uhkat

Tämä viimeaikainen löytö lisää kasvavaa huolta Pohjois-Korean kybervalmiuksista. Ryhmät, kuten APT37, Lazarus ja Kimsuky, ovat kaikki olleet yhteydessä valtion tukemiin kyberhyökkäuksiin, joiden tarkoituksena on vakoilu , taloudellinen hyöty ja sabotointi. Kehittyneiden työkalujen, kuten VeilShellin, käytön lisääntyessä nämä ryhmät muodostavat merkittävän uhan globaalille kyberturvallisuusympäristölle.

Asiantuntijat varoittavat, että tämä kampanja voi helposti levitä Kaakkois-Aasian ulkopuolelle, koska pohjoiskorealaiset hakkerointiryhmät ovat kohdistaneet kohteen useille alueille, mukaan lukien Yhdysvaltoihin ja Eurooppaan. Itse asiassa vain muutama päivä ennen VeilShellin löytöä toinen pohjoiskorealainen Andariel-ryhmä käynnisti hyökkäykset yhdysvaltalaisia organisaatioita vastaan taloudellisesti motivoidussa kampanjassa.

Suojautuminen VeilShellia ja vastaavia uhkia vastaan

Organisaatioille ja yksityishenkilöille tämä korostaa, että on tärkeää pysyä valppaana tietokalasteluyrityksiä vastaan ja varmistaa, että kaikki järjestelmät päivitetään säännöllisesti uusimmilla tietoturvakorjauksilla. Tässä on muutamia vinkkejä tällaisten hyökkäysten riskin vähentämiseksi:

1. Varo odottamattomia sähköposteja: Jos saat sähköpostin, jossa on liitetiedosto tai linkki, jota et odottanut, harkitse kahdesti ennen kuin napsautat sitä.
2. Pidä ohjelmistot ajan tasalla: Säännöllinen käyttöjärjestelmien ja sovellusten korjaus voi auttaa korjaamaan hyökkääjien hyödyntämiä tietoturvaaukkoja.

Yhteenvetona voidaan todeta, että VeilShell-haittaohjelma ja SHROUDED#SLEEP-kampanja ovat jyrkät muistutukset jatkuvasti kehittyvistä uhista kyberturvallisuuden maailmassa. Pysymällä varovaisina ja ryhtymällä ennakoiviin turvatoimiin yksityishenkilöt ja yritykset voivat pysyä askeleen edellä näitä vaarallisia toimijoita.