הצעת הנחה מרובה רישיונות
אבטחת מחשבים האקרים צפון קוריאנים פורסים דלת אחורית חדשה של VeilShell...

האקרים צפון קוריאנים פורסים דלת אחורית חדשה של VeilShell בהתקפות חמקניות ברחבי דרום מזרח אסיה

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

בגילוי חדש ומצמרר, קבוצות ריגול סייבר בצפון קוריאה זוהו המשתמשות בתוכנה זדונית חדשה בשם VeilShell לביצוע התקפות סייבר חמקניות ברחבי דרום מזרח אסיה. מומחי אבטחה קישרו את הפעילות הזו ל- APT37 , קבוצת פריצה ידועה לשמצה הפועלת תחת כינויים רבים, כגון InkySquid, Reaper, RedEyes ו-ScarCruft. עם קישורים למשרד לביטחון המדינה של צפון קוריאה, APT37 פעיל מאז 2012 והוא ידוע לשמצה בקמפיינים המתוחכמים שלו בתחום הסייבר המכוונים למגזרים ממשלתיים ותאגידים.

מסע הפרסום SHROUDED#SLEEP

חוקרי אבטחה כינו את המבצע האחרון הזה SHROUDED#SLEEP, שם הולם להתגנבות ולסבלנות שהפגינו פושעי הסייבר הללו. ההערכה היא שהקבוצה מבצעת קמפיין זה תוך התמקדות ספציפית בקמבודיה ובמדינות אחרות בדרום מזרח אסיה. על ידי מינוף של VeilShell, טרויאני גישה מרחוק (RAT) , התוקפים שואפים להשיג שליטה מלאה במכונות שנפגעו, עם היכולת לסנן נתונים, לתפעל רישום מערכת ולתזמן משימות באופן סמוי.

כיצד פועל VeilShell?

אחד ההיבטים הבולטים של מתקפה זו הוא האופן שבו VeilShell נכנסת למערכות היעד שלה. למרות שעדיין לא ברור כיצד מועבר המטען הראשוני, מומחים חושדים שהקבוצה משתמשת במייל דיוג בחנית - שיטה ממוקדת ביותר להערים על אנשים ללחוץ על קישורים זדוניים או להוריד קבצים נגועים. ככל הנראה המטען בשלב הראשון מועבר באמצעות ארכיון ZIP המכיל קובץ קיצור של Windows (LNK).

ברגע שהמשתמש התמים מפעיל את קובץ LNK, הוא מפעיל רצף של פעולות. קוד PowerShell - שפת סקריפטים הנפוצה בסביבות Windows - פועל מאחורי הקלעים, ומחלץ רכיבים נוספים המוסתרים בתוך הקובץ. כדי להימנע מהעלאת חשד, המתקפה מסיחה את דעתו של המשתמש באמצעות מסמך תמים למראה, כמו קובץ Microsoft Excel או PDF, בזמן שהיא מתקינה ברקע את רכיבי התוכנה המסוכנים יותר.

האיום האמיתי מגיע מה-DomainManager.dll, קובץ זדוני המוצב אסטרטגית בתיקיית האתחול של Windows, שם הוא מבטיח התמדה על ידי הפעלה בכל פעם שהמערכת מופעלת מחדש. קובץ זה מתקשר עם שרת שליטה ושליטה מרחוק (C2), ומעניק לתוקפים שליטה על המכשיר הנגוע. משם, הם יכולים לרגל אחר קבצים, להעלות נתונים רגישים, להוריד כלים זדוניים יותר, ואפילו למחוק או לשנות שמות של קבצים כדי לכסות את עקבותיהם.

הזרקת AppDomainManager: טכניקה ערמומית

מה שמייחד את ההתקפה הזו מהתקפות סייבר אחרות הוא השימוש החכם בטכניקה הנקראת AppDomainManager injection. למרות שזה עשוי להישמע מורכב, השיטה בעצם מאפשרת לתוקפים להפעיל קוד זדוני בכל פעם שתוכנית לגיטימית מופעלת, מבלי להעלות אזעקה. טקטיקה זו הופעלה לאחרונה על ידי קבוצת האקרים אחרת המיישרת קו עם סין, מה שמעיד על כך שהטכניקה הזו צוברת פופולריות בקרב פושעי סייבר ברחבי העולם.

המשחק הארוך: כיצד APT37 מתחמק מזיהוי

אחת הסיבות שהקמפיין הזה לא זוהה כל כך הרבה זמן היא הסבלנות של התוקפים. לאחר פריסה מוצלחת של VeilShell, הם לא מפעילים אותה מיד. במקום זאת, התוכנה הזדונית רדומה עד שהמערכת מופעלת מחדש. הפעלה מושהית זו, בשילוב עם זמני שינה ארוכים (הפסקות בביצוע), הופכת את התוכנה הזדונית לקשה יותר לזיהוי על ידי כלי אבטחה מסורתיים. טכניקות אלו מסייעות להאקרים להימנע מגילוי לתקופות ארוכות, ומאפשרות להם לאסוף מודיעין ולשמור על שליטה על המערכות שנפרצו.

השלכות ואיומים עתידיים

הגילוי האחרון הזה מוסיף לדאגה הגוברת לגבי יכולות הסייבר של צפון קוריאה. קבוצות כמו APT37, Lazarus וקימסוקי כולן נקשרו למתקפות סייבר בחסות המדינה שמטרתן ריגול , רווח כספי וחבלה. עם השימוש הגובר בכלים מתוחכמים כמו VeilShell, קבוצות אלו מהוות איום משמעותי על נוף אבטחת הסייבר העולמי.

מומחים מזהירים כי מסע פרסום זה עלול להתפשט בקלות מעבר לדרום מזרח אסיה, שכן לקבוצות פריצה צפון קוריאניות יש היסטוריה של מיקוד למספר אזורים, כולל ארה"ב ואירופה. למעשה, ימים ספורים לפני גילוי VeilShell, קבוצה צפון קוריאנית אחרת הידועה בשם Andriel פתחה במתקפות נגד ארגונים אמריקאים במסע פרסום ממניעים כלכליים.

הגנה מפני VeilShell ואיומים דומים

עבור ארגונים ויחידים, זה מדגיש את החשיבות של שמירה על ערנות מפני ניסיונות דיוג חנית ולהבטיח שכל המערכות מתעדכנות באופן קבוע בתיקוני האבטחה האחרונים. להלן מספר טיפים להפחתת הסיכון להתקפות כאלה:

  1. היזהר מהודעות דוא"ל בלתי צפויות: אם אתה מקבל הודעת דוא"ל עם קובץ מצורף או קישור שלא ציפית, חשב פעמיים לפני שתלחץ עליו.
  2. שמור את התוכנה מעודכנת: תיקון קבוע של מערכות הפעלה ויישומים יכול לעזור לסגור פערי אבטחה שתוקפים מנצלים.
  • השתמש בתוכנת אנטי-וירוס: למרות שאינה חסינת תקלות, תוכנת אנטי-וירוס טובה יכולה לזהות ולחסום איומים נפוצים רבים.
  • אפשר אימות דו-גורמי (2FA): הוספת שכבת אבטחה נוספת מקשה על התוקפים לקבל גישה, גם אם הם גונבים את הסיסמה שלך.

    • לסיכום, התוכנה הזדונית של VeilShell ומסע הפרסום SHROUDED#SLEEP הם תזכורות חדות לאיומים המתפתחים ללא הרף בעולם אבטחת הסייבר. על ידי שמירה על זהירות ונקיטת אמצעי אבטחה יזומים, אנשים ועסקים יכולים להישאר צעד אחד לפני השחקנים המסוכנים הללו.

    טוען...