Ponuda s popustom na više licenci
Sigurnost računala Sjevernokorejski hakeri koriste novi VeilShell Backdoor u...

Sjevernokorejski hakeri koriste novi VeilShell Backdoor u prikrivenim napadima diljem jugoistočne Azije

Do Mura. Sigurnost računala. godine
Prevedi na:
Hrvatski

U jezivom novom otkriću, sjevernokorejske cyber-špijunske skupine uočene su kako koriste novi backdoor zlonamjerni softver pod nazivom VeilShell za izvođenje prikrivenih cyber-napada diljem jugoistočne Azije. Stručnjaci za sigurnost povezali su ovu aktivnost s APT37 , ozloglašenom hakerskom skupinom koja djeluje pod više pseudonima, kao što su InkySquid, Reaper, RedEyes i ScarCruft. S vezama s Ministarstvom državne sigurnosti Sjeverne Koreje, APT37 je aktivan od 2012. i ozloglašen je po svojim sofisticiranim cyber kampanjama usmjerenim na vladine i korporativne sektore.

Kampanja ZAVETANO#SPAVANJE

Sigurnosni istraživači ovu su posljednju operaciju nazvali SHROUDED#SLEEP, što je prikladno ime za pritajenost i strpljenje koje pokazuju ovi kibernetički kriminalci. Vjeruje se da skupina provodi ovu kampanju s posebnim fokusom na Kambodžu i druge zemlje jugoistočne Azije. Korištenjem VeilShell-a, trojanca za daljinski pristup (RAT) , napadači imaju za cilj steći potpunu kontrolu nad kompromitiranim strojevima, uz mogućnost eksfiltracije podataka, manipuliranja registrima sustava i tajnog rasporeda zadataka.

Kako radi VeilShell?

Jedan od istaknutih aspekata ovog napada je kako VeilShell ulazi u svoje ciljne sustave. Iako je još uvijek nejasno kako se isporučuje početni teret, stručnjaci sumnjaju da grupa koristi e-poštu za krađu identiteta—vrlo ciljanu metodu prevare pojedinaca da kliknu na zlonamjerne veze ili preuzmu zaražene datoteke. Korisni teret prve faze vjerojatno se isporučuje putem ZIP arhive koja sadrži datoteku Windows prečaca (LNK).

Nakon što korisnik koji ništa ne sumnja pokrene LNK datoteku, ona pokreće niz radnji. PowerShell kod—skriptni jezik koji se obično koristi u Windows okruženjima—radi iza scene, ekstrahirajući dodatne komponente skrivene unutar datoteke. Kako bi se izbjeglo izazivanje sumnje, napad odvlači pažnju korisnika dokumentom koji izgleda nevino, kao što je Microsoft Excel ili PDF datoteka, dok u pozadini instalira opasnije komponente zlonamjernog softvera.

Prava prijetnja dolazi od DomainManager.dll, zlonamjerne datoteke strateški smještene u mapu za pokretanje sustava Windows, gdje osigurava postojanost pokretanjem pri svakom ponovnom pokretanju sustava. Ova datoteka komunicira s udaljenim poslužiteljem za naredbu i kontrolu (C2), dajući napadačima kontrolu nad zaraženim uređajem. Od tamo mogu špijunirati datoteke, prenositi osjetljive podatke, preuzimati više zlonamjernih alata, pa čak i brisati ili preimenovati datoteke kako bi prikrili svoje tragove.

Ubacivanje AppDomainManagera: lukava tehnika

Ono što ovaj napad izdvaja od ostalih kibernetičkih napada je pametna upotreba tehnike koja se zove AppDomainManager injection. Iako može zvučati složeno, metoda u biti omogućuje napadačima pokretanje zlonamjernog koda svaki put kada se pokrene legitiman program, bez podizanja ikakvih alarma. Ovu je taktiku nedavno upotrijebila druga hakerska skupina povezana s Kinom, što ukazuje na to da ova tehnika postaje sve popularnija među kibernetičkim kriminalcima diljem svijeta.

Duga igra: Kako APT37 izbjegava otkrivanje

Jedan od razloga zašto je ova kampanja toliko dugo bila neotkrivena je strpljenje napadača. Nakon uspješne implementacije VeilShell-a, ne aktiviraju ga odmah. Umjesto toga, zlonamjerni softver miruje dok se sustav ponovno ne pokrene. Ova odgođena aktivacija, u kombinaciji s dugim vremenima mirovanja (pauze u izvršavanju), čini zlonamjerni softver težim za otkrivanje tradicionalnim sigurnosnim alatima. Ove tehnike pomažu hakerima da izbjegnu otkrivanje na dulja razdoblja, omogućujući im prikupljanje obavještajnih podataka i održavanje kontrole nad ugroženim sustavima.

Posljedice i buduće prijetnje

Ovo nedavno otkriće povećava zabrinutost oko kibernetičkih sposobnosti Sjeverne Koreje. Grupe kao što su APT37, Lazarus i Kimsuky sve su povezane s kibernetičkim napadima koje sponzorira država s ciljem špijunaže , financijske dobiti i sabotaže. Uz sve veću upotrebu sofisticiranih alata kao što je VeilShell, te skupine predstavljaju značajnu prijetnju globalnom krajoliku kibernetičke sigurnosti.

Stručnjaci upozoravaju da bi se ova kampanja mogla lako proširiti izvan jugoistočne Azije, budući da sjevernokorejske hakerske skupine imaju povijest ciljanja više regija, uključujući SAD i Europu. Zapravo, samo nekoliko dana prije otkrića VeilShella, druga sjevernokorejska skupina poznata kao Andariel pokrenula je napade na američke organizacije u financijski motiviranoj kampanji.

Zaštita od VeilShell i sličnih prijetnji

Za organizacije i pojedince ovo naglašava važnost opreza protiv pokušaja krađe identiteta i osiguravanja da se svi sustavi redovito ažuriraju najnovijim sigurnosnim zakrpama. Evo nekoliko savjeta za smanjenje rizika od takvih napada:

  1. Budite oprezni s neočekivanim porukama e-pošte: ako primite poruku e-pošte s privitkom ili vezom koju niste očekivali, dvaput razmislite prije nego što kliknete na nju.
  2. Održavajte softver ažuriranim: Redovito krpanje operativnih sustava i aplikacija može pomoći u zatvaranju sigurnosnih rupa koje napadači iskorištavaju.
  • Koristite antivirusni softver: Iako nije siguran, dobar antivirusni program može otkriti i blokirati mnoge uobičajene prijetnje.
  • Omogućite autentifikaciju u dva faktora (2FA): Dodavanje dodatnog sloja sigurnosti napadačima otežava pristup, čak i ako ukradu vašu lozinku.

    • Zaključno, zlonamjerni softver VeilShell i kampanja SHROUDED#SLEEP jasni su podsjetnici na prijetnje koje se neprestano razvijaju u svijetu kibernetičke sigurnosti. Ostajući oprezni i poduzimajući proaktivne sigurnosne mjere, pojedinci i tvrtke mogu ostati korak ispred ovih opasnih aktera.

    Učitavam...