Észak-koreai hackerek új VeilShell hátsó ajtót telepítettek lopakodó támadásokra Délkelet-Ázsiában

Egy lehangoló új felfedezés, hogy észak-koreai kiberkémkedési csoportokat észleltek, amelyek egy új, VeilShell nevű, hátsó ajtóban működő rosszindulatú szoftvert használnak, hogy lopakodó kibertámadásokat hajtsanak végre Délkelet-Ázsiában. Biztonsági szakértők ezt a tevékenységet az APT37- hez kapcsolták, egy hírhedt hackercsoporthoz, amely több álnéven működik, mint például az InkySquid, a Reaper, a RedEyes és a ScarCruft. Az észak-koreai állambiztonsági minisztériumhoz fűződő kapcsolatok révén az APT37 2012 óta működik, és híres a kormányzati és vállalati szektorokat célzó kifinomult kiberkampányairól.

A SHROUDED#SLEEP kampány

Biztonsági kutatók elnevezték ezt a legújabb műveletet SHROUDED#SLEEP-nek, amely egy találó név a kiberbűnözők által tanúsított lopakodásra és türelemre. A csoport vélhetően ezt a kampányt Kambodzsára és más délkelet-ázsiai országokra összpontosítva hajtja végre. A VeilShell, a távoli hozzáférésű trójai (RAT) kihasználásával a támadók célja, hogy teljes irányítást szerezzenek a feltört gépek felett, és képesek legyenek kiszűrni az adatokat, manipulálni a rendszerleíró adatbázisokat, és rejtetten ütemezni a feladatokat.

Hogyan működik a VeilShell?

Ennek a támadásnak az egyik kiemelkedő aspektusa az, hogy a VeilShell hogyan lép be a célrendszereibe. Noha még mindig nem világos, hogyan szállítják a kezdeti hasznos terhet, a szakértők azt gyanítják, hogy a csoport adathalász e-maileket használ – ez egy nagyon célzott módszer arra, hogy rávegyék az egyéneket, hogy rosszindulatú hivatkozásokra kattintsanak vagy fertőzött fájlokat töltsenek le. Az első szakaszban lévő hasznos adatot valószínűleg egy Windows parancsikon (LNK) fájlt tartalmazó ZIP archívumban szállítják.

Amint a gyanútlan felhasználó elindítja az LNK fájlt, az egy műveletsort indít el. A PowerShell-kód – a Windows-környezetekben általánosan használt szkriptnyelv – fut a színfalak mögött, és kibontja a fájlban rejtett további összetevőket. A gyanú elkerülése érdekében a támadás egy ártatlannak tűnő dokumentummal, például Microsoft Excel- vagy PDF-fájllal vonja el a felhasználó figyelmét, miközben a háttérben telepíti a veszélyesebb kártevő-összetevőket.

Az igazi fenyegetést a DomainManager.dll, egy rosszindulatú fájl jelenti, amely stratégiailag a Windows indítómappájában van elhelyezve, ahol a rendszer minden újraindításakor futással biztosítja a folyamatos működést. Ez a fájl egy távoli parancs- és vezérlési (C2) kiszolgálóval kommunikál, így a támadók irányíthatják a fertőzött eszközt. Innentől fájlokat kémkedhetnek, kényes adatokat tölthetnek fel, további rosszindulatú eszközöket tölthetnek le, és akár fájlokat is törölhetnek vagy átnevezhetnek, hogy elfedjék a nyomaikat.

Az AppDomainManager injekció: alattomos technika

Ezt a támadást az AppDomainManager injekciónak nevezett technika okos használata különbözteti meg a többi kibertámadástól. Bár bonyolultnak hangzik, a módszer lényegében lehetővé teszi a támadók számára, hogy rosszindulatú kódot futtatjanak minden alkalommal, amikor egy legitim program elindul, anélkül, hogy riasztást váltana ki. Ezt a taktikát a közelmúltban egy másik, Kínával megegyező hackercsoport alkalmazta, jelezve, hogy ez a technika világszerte egyre népszerűbb a kiberbűnözők körében.

A hosszú játék: Hogyan kerüli el az APT37 az észlelést?

Ennek a kampánynak az egyik oka, hogy ilyen sokáig észrevétlen maradt, a támadók türelme. A VeilShell sikeres telepítése után nem aktiválják azonnal. Ehelyett a rosszindulatú program a rendszer újraindításáig alvó állapotban van. Ez a késleltetett aktiválás a hosszú alvásidővel (végrehajtási szünetekkel) kombinálva megnehezíti a rosszindulatú program észlelését a hagyományos biztonsági eszközökkel. Ezek a technikák segítenek a hackereknek elkerülni az észlelést hosszú ideig, lehetővé téve számukra, hogy intelligens információkat gyűjtsenek, és fenntartsák az irányítást a feltört rendszerek felett.

Következmények és jövőbeli veszélyek

Ez a közelmúltbeli felfedezés fokozza az Észak-Korea kiberképességeivel kapcsolatos növekvő aggodalmat. Az olyan csoportok, mint az APT37, a Lazarus és a Kimsuky, mind kapcsolatba kerültek államilag támogatott kibertámadásokkal, amelyek célja kémkedés , pénzügyi haszonszerzés és szabotázs. Az olyan kifinomult eszközök, mint a VeilShell, egyre növekvő használata miatt ezek a csoportok jelentős veszélyt jelentenek a globális kiberbiztonsági környezetre.

Szakértők arra figyelmeztetnek, hogy ez a kampány könnyen átterjedhet Délkelet-Ázsián túlra is, mivel az észak-koreai hackercsoportok több régiót is megcéloztak, köztük az Egyesült Államokat és Európát. Valójában néhány nappal a VeilShell felfedezése előtt egy másik Andariel néven ismert észak-koreai csoport támadásokat indított amerikai szervezetek ellen egy pénzügyi indíttatású kampányban.

Védelem a VeilShell és hasonló fenyegetések ellen

A szervezetek és a magánszemélyek számára ez kiemeli annak fontosságát, hogy ébernek maradjanak az adathalász kísérletekkel szemben, és gondoskodjanak arról, hogy minden rendszert rendszeresen frissítsenek a legújabb biztonsági javításokkal. Íme néhány tipp az ilyen támadások kockázatának csökkentésére:

1. Legyen óvatos a váratlan e-mailekkel: Ha nem várt fájlmellékletet vagy hivatkozást tartalmazó e-mailt kap, gondolja át kétszer, mielőtt rákattint.
2. Tartsa naprakészen a szoftvert: Az operációs rendszerek és alkalmazások rendszeres javítása segíthet megszüntetni a támadók által kihasznált biztonsági réseket.

Összefoglalva, a VeilShell rosszindulatú program és a SHROUDED#SLEEP kampány határozottan emlékeztet a kiberbiztonság világában folyamatosan fejlődő fenyegetésekre. Óvatossággal és proaktív biztonsági intézkedésekkel az egyének és a vállalkozások egy lépéssel a veszélyes szereplők előtt járhatnak.