Kelių licencijų nuolaidos pasiūlymas
Kompiuterių apsauga Šiaurės Korėjos įsilaužėliai per slaptas atakas visoje...

Šiaurės Korėjos įsilaužėliai per slaptas atakas visoje Pietryčių Azijoje įdiegė naują „VeilShell Backdoor“

Autorius Mura, Kompiuterių apsauga
Versti į:
Lietuvių

Naujas stulbinantis atskleidimas buvo pastebėtas Šiaurės Korėjos kibernetinio šnipinėjimo grupuotės, naudojančios naują užpakalinių durų kenkėjišką programą „VeilShell“, kad įvykdytų slaptas kibernetines atakas visoje Pietryčių Azijoje. Saugumo ekspertai susiejo šią veiklą su APT37 – liūdnai pagarsėjusia įsilaužimo grupe, veikiančia su keliais slapyvardžiais, tokiais kaip „InkySquid“, „Reaper“, „RedEyes“ ir „ScarCruft“. Turėdamas ryšius su Šiaurės Korėjos valstybės saugumo ministerija, APT37 veikia nuo 2012 m. ir yra pagarsėjęs sudėtingomis kibernetinėmis kampanijomis, nukreiptomis į vyriausybės ir įmonių sektorius.

Kampanija SHROUDED#SLEEP

Saugumo tyrinėtojai šią naujausią operaciją pavadino SHROUDED#SLEEP – tinkamas šių kibernetinių nusikaltėlių slaptumo ir kantrybės pavadinimas. Manoma, kad grupė vykdo šią kampaniją, ypatingą dėmesį skirdama Kambodžai ir kitoms Pietryčių Azijos šalims. Naudodami VeilShell, nuotolinės prieigos Trojos arklys (RAT) , užpuolikai siekia visiškai kontroliuoti pažeistus įrenginius, galinčius išfiltruoti duomenis, manipuliuoti sistemos registrais ir slaptai planuoti užduotis.

Kaip veikia VeilShell?

Vienas iš išskirtinių šios atakos aspektų yra tai, kaip „VeilShell“ patenka į savo tikslines sistemas. Nors vis dar neaišku, kaip pristatomas pradinis naudingasis krovinys, ekspertai įtaria, kad grupė naudoja sukčiavimo el. laiškus – tai labai tikslingas būdas priversti asmenis spustelėti kenkėjiškas nuorodas arba atsisiųsti užkrėstus failus. Pirmojo etapo naudingoji apkrova greičiausiai bus pristatyta per ZIP archyvą, kuriame yra „Windows“ nuorodos (LNK) failas.

Kai nieko neįtariantis vartotojas paleidžia LNK failą, jis suaktyvina veiksmų seką. PowerShell kodas – scenarijų kalba, dažniausiai naudojama „Windows“ aplinkoje – veikia užkulisiuose, išgaunant kitus faile paslėptus komponentus. Kad nekiltų įtarimų, ataka atitraukia vartotojo dėmesį nekaltai atrodančiu dokumentu, pvz., „Microsoft Excel“ ar PDF failu, o pavojingesnius kenkėjiškų programų komponentus įdiegia fone.

Tikroji grėsmė kyla iš DomainManager.dll – kenkėjiško failo, strategiškai patalpinto „Windows“ paleisties aplanke, kur jis užtikrina išlikimą, paleidžiant kiekvieną kartą, kai sistema paleidžiama iš naujo. Šis failas palaiko ryšį su nuotoliniu komandų ir valdymo (C2) serveriu, todėl užpuolikai gali valdyti užkrėstą įrenginį. Iš ten jie gali šnipinėti failus, įkelti neskelbtinus duomenis, atsisiųsti daugiau kenkėjiškų įrankių ir net ištrinti ar pervardyti failus, kad apimtų savo pėdsakus.

„AppDomainManager“ injekcija: slapta technika

Šią ataką iš kitų kibernetinių atakų išskiria protingas technikos, vadinamos AppDomainManager injekcija, naudojimas. Nors tai gali skambėti sudėtingai, šis metodas iš esmės leidžia užpuolikams paleisti kenkėjišką kodą kiekvieną kartą, kai paleidžiama teisėta programa, nesukeliant jokių įspėjimų. Šią taktiką neseniai taikė kita įsilaužėlių grupė, susieta su Kinija, o tai rodo, kad ši technika populiarėja tarp kibernetinių nusikaltėlių visame pasaulyje.

Ilgas žaidimas: kaip APT37 išvengia aptikimo

Viena iš priežasčių, kodėl ši kampanija taip ilgai buvo nepastebėta, yra užpuolikų kantrybė. Sėkmingai įdiegę „VeilShell“, jie jo neaktyvina iš karto. Vietoj to, kenkėjiška programa neveikia tol, kol sistema nebus paleista iš naujo. Dėl šio uždelsto aktyvinimo kartu su ilgu miego laiku (vykdymo pauzėmis) kenkėjišką programą sunkiau aptikti naudojant tradicinius saugos įrankius. Šie metodai padeda įsilaužėliams išvengti aptikimo ilgą laiką, todėl jie gali rinkti žvalgybos informaciją ir kontroliuoti pažeistas sistemas.

Pasekmės ir ateities grėsmės

Šis naujausias atradimas dar labiau padidina susirūpinimą dėl Šiaurės Korėjos kibernetinių pajėgumų. Tokios grupės kaip APT37, Lazarus ir Kimsuky buvo siejamos su valstybės remiamomis kibernetinėmis atakomis, kuriomis siekiama šnipinėti , finansinės naudos ir sabotažo. Vis dažniau naudojant sudėtingas priemones, tokias kaip „VeilShell“, šios grupės kelia didelę grėsmę pasaulinei kibernetinio saugumo aplinkai.

Ekspertai perspėja, kad ši kampanija gali lengvai išplisti už Pietryčių Azijos ribų, nes Šiaurės Korėjos įsilaužėlių grupės nusitaikė į kelis regionus, įskaitant JAV ir Europą. Tiesą sakant, likus kelioms dienoms iki „VeilShell“ atradimo, kita Šiaurės Korėjos grupė, žinoma kaip „Andariel“, pradėjo atakas prieš JAV organizacijas, vykdydama finansiškai motyvuotą kampaniją.

Apsauga nuo VeilShell ir panašių grėsmių

Organizacijoms ir asmenims tai pabrėžia, kaip svarbu išlikti budriems nuo sukčiavimo ir užtikrinti, kad visos sistemos būtų reguliariai atnaujinamos naujausiomis saugos pataisomis. Štai keletas patarimų, kaip sumažinti tokių išpuolių riziką:

  1. Būkite atsargūs dėl netikėtų el. laiškų: jei gaunate el. laišką su failo priedu arba nuoroda, kurios nesitikėjote, gerai pagalvokite prieš jį spustelėdami.
  2. Atnaujinkite programinę įrangą: Reguliarus operacinių sistemų ir programų pataisymas gali padėti pašalinti saugos spragas, kuriomis naudojasi užpuolikai.
  • Naudokite antivirusinę programinę įrangą: nors ir nėra patikima, gera antivirusinė programa gali aptikti ir blokuoti daugelį įprastų grėsmių.
  • Įgalinti dviejų veiksnių autentifikavimą (2FA): pridėjus papildomą saugos sluoksnį, užpuolikams bus sunkiau pasiekti prieigą, net jei jie pavagia jūsų slaptažodį.

    • Apibendrinant galima pasakyti, kad kenkėjiška programa „VeilShell“ ir kampanija SHROUDED#SLEEP yra ryškus priminimas apie nuolat kylančias grėsmes kibernetinio saugumo pasaulyje. Būdami atsargūs ir imdamiesi aktyvių saugumo priemonių, asmenys ir įmonės gali būti vienu žingsniu priekyje šių pavojingų veikėjų.

    Įkeliama...