Gli hacker nordcoreani implementano la nuova backdoor VeilShell in attacchi furtivi nel sud-est asiatico
In una nuova, agghiacciante rivelazione, gruppi di cyber-spionaggio nordcoreani sono stati individuati mentre utilizzavano un nuovo malware backdoor chiamato VeilShell per eseguire attacchi informatici furtivi nel sud-est asiatico. Gli esperti di sicurezza hanno collegato questa attività ad APT37 , un noto gruppo di hacker che opera sotto diversi alias, come InkySquid, Reaper, RedEyes e ScarCruft. Con legami con il Ministero della sicurezza dello Stato della Corea del Nord, APT37 è attivo dal 2012 ed è noto per le sue sofisticate campagne informatiche che prendono di mira i settori governativi e aziendali.
Sommario
La campagna SHROUDED#SLEEP
I ricercatori di sicurezza hanno soprannominato questa ultima operazione SHROUDED#SLEEP, un nome appropriato per la furtività e la pazienza dimostrate da questi criminali informatici. Si ritiene che il gruppo stia portando avanti questa campagna con un focus specifico sulla Cambogia e altri paesi del Sud-est asiatico. Sfruttando VeilShell, un trojan di accesso remoto (RAT) , gli aggressori mirano a ottenere il pieno controllo delle macchine compromesse, con la capacità di esfiltrare dati, manipolare i registri di sistema e pianificare attività in modo occulto.
Come funziona VeilShell?
Uno degli aspetti più evidenti di questo attacco è il modo in cui VeilShell entra nei sistemi di destinazione. Sebbene non sia ancora chiaro come venga consegnato il payload iniziale, gli esperti sospettano che il gruppo utilizzi e-mail di spear-phishing, un metodo altamente mirato per indurre gli individui a cliccare su link dannosi o a scaricare file infetti. Il payload della prima fase viene probabilmente consegnato tramite un archivio ZIP contenente un file di collegamento di Windows (LNK).
Una volta che l'ignaro utente avvia il file LNK, questo innesca una sequenza di azioni. Un codice PowerShell, un linguaggio di scripting comunemente usato negli ambienti Windows, viene eseguito dietro le quinte, estraendo ulteriori componenti nascosti nel file. Per evitare di destare sospetti, l'attacco distrae l'utente con un documento dall'aspetto innocente, come un file Microsoft Excel o PDF, mentre installa i componenti malware più pericolosi in background.
La vera minaccia proviene da DomainManager.dll, un file dannoso posizionato strategicamente nella cartella di avvio di Windows, dove assicura la persistenza eseguendo ogni volta che il sistema si riavvia. Questo file comunica con un server remoto di comando e controllo (C2), dando agli aggressori il controllo sul dispositivo infetto. Da lì, possono spiare i file, caricare dati sensibili, scaricare altri strumenti dannosi e persino eliminare o rinominare i file per coprire le loro tracce.
L'iniezione di AppDomainManager: una tecnica subdola
Ciò che distingue questo attacco dagli altri attacchi informatici è l'uso intelligente di una tecnica chiamata iniezione AppDomainManager. Sebbene possa sembrare complesso, il metodo consente essenzialmente agli aggressori di eseguire codice dannoso ogni volta che viene avviato un programma legittimo, senza far scattare alcun allarme. Questa tattica è stata recentemente impiegata da un altro gruppo di hacker allineato con la Cina, il che indica che questa tecnica sta guadagnando popolarità tra i criminali informatici in tutto il mondo.
Il gioco lungo: come APT37 elude il rilevamento
Una delle ragioni per cui questa campagna è passata inosservata per così tanto tempo è la pazienza degli aggressori. Dopo aver distribuito con successo VeilShell, non lo attivano subito. Invece, il malware rimane dormiente finché il sistema non viene riavviato. Questa attivazione ritardata, combinata con lunghi tempi di sospensione (pause nell'esecuzione), rende il malware più difficile da rilevare con gli strumenti di sicurezza tradizionali. Queste tecniche aiutano gli hacker a evitare il rilevamento per lunghi periodi, consentendo loro di raccogliere informazioni e mantenere il controllo sui sistemi compromessi.
Implicazioni e minacce future
Questa recente scoperta si aggiunge alla crescente preoccupazione per le capacità informatiche della Corea del Nord. Gruppi come APT37, Lazarus e Kimsuky sono stati tutti collegati ad attacchi informatici sponsorizzati dallo stato, volti a spionaggio , guadagno finanziario e sabotaggio. Con il crescente utilizzo di strumenti sofisticati come VeilShell, questi gruppi rappresentano una minaccia significativa per il panorama della sicurezza informatica globale.
Gli esperti avvertono che questa campagna potrebbe facilmente estendersi oltre il Sud-est asiatico, poiché i gruppi di hacker nordcoreani hanno una storia di attacchi a più regioni, tra cui gli Stati Uniti e l'Europa. Infatti, solo pochi giorni prima della scoperta di VeilShell, un altro gruppo nordcoreano noto come Andariel ha lanciato attacchi contro organizzazioni statunitensi in una campagna motivata finanziariamente.
Protezione contro VeilShell e minacce simili
Per le organizzazioni e gli individui, questo evidenzia l'importanza di rimanere vigili contro i tentativi di spear-phishing e di garantire che tutti i sistemi siano regolarmente aggiornati con le ultime patch di sicurezza. Ecco alcuni suggerimenti per ridurre il rischio di tali attacchi:
- Fai attenzione alle email inaspettate: se ricevi un'email con un file allegato o un link inaspettato, pensaci due volte prima di cliccarci sopra.
- Mantenere il software aggiornato: applicare regolarmente patch ai sistemi operativi e alle applicazioni può aiutare a colmare le lacune di sicurezza sfruttate dagli aggressori.
In conclusione, il malware VeilShell e la campagna SHROUDED#SLEEP sono un duro promemoria delle minacce in continua evoluzione nel mondo della sicurezza informatica. Mantenendo la cautela e adottando misure di sicurezza proattive, individui e aziende possono rimanere un passo avanti a questi attori pericolosi.