Ziemeļkorejas hakeri slēptos uzbrukumos Dienvidaustrumāzijā izvieto jaunas VeilShell Backdoor

Jaunā vēsā atklāsme ir Ziemeļkorejas kiberspiegošanas grupas, kas izmanto jaunu aizmugures ļaunprātīgu programmatūru ar nosaukumu VeilShell, lai veiktu slepenus kiberuzbrukumus visā Dienvidaustrumāzijā. Drošības eksperti ir saistījuši šo darbību ar APT37 — bēdīgi slavenu hakeru grupu, kas darbojas ar vairākiem aizstājvārdiem, piemēram, InkySquid, Reaper, RedEyes un ScarCruft. Ar saiknēm ar Ziemeļkorejas Valsts drošības ministriju APT37 ir aktīvi darbojies kopš 2012. gada un ir bēdīgi slavens ar savām izsmalcinātajām kiberkampaņām, kuru mērķauditorija ir valsts un korporatīvie sektori.

Kampaņa SHROUDED#SLEEP

Drošības pētnieki šo jaunāko operāciju ir nosaukuši par SHROUDED#SLEEP, kas ir piemērots nosaukums šo kibernoziedznieku slēptībai un pacietībai. Tiek uzskatīts, ka grupa īsteno šo kampaņu, īpašu uzmanību pievēršot Kambodžai un citām Dienvidaustrumāzijas valstīm. Izmantojot attālās piekļuves Trojas zirgu (RAT) VeilShell, uzbrucēju mērķis ir iegūt pilnīgu kontroli pār apdraudētajām mašīnām ar iespēju izfiltrēt datus, manipulēt ar sistēmas reģistriem un slēpti plānot uzdevumus.

Kā darbojas VeilShell?

Viens no šī uzbrukuma izcilajiem aspektiem ir tas, kā VeilShell iekļūst savās mērķa sistēmās. Lai gan joprojām nav skaidrs, kā tiek piegādāta sākotnējā lietderīgā slodze, speciālistiem ir aizdomas, ka grupa izmanto pikšķerēšanas e-pastus — ļoti mērķtiecīgu metodi, lai pievilinātu personas noklikšķināt uz ļaunprātīgām saitēm vai lejupielādētu inficētus failus. Pirmā posma lietderīgā slodze, iespējams, tiek piegādāta, izmantojot ZIP arhīvu, kurā ir Windows saīsnes (LNK) fails.

Kad nenojaušais lietotājs palaiž LNK failu, tas aktivizē darbību secību. PowerShell kods — skriptu valoda, ko parasti izmanto Windows vidēs — darbojas aizkulisēs, izvelkot citus failā paslēptos komponentus. Lai neradītu aizdomas, uzbrukums novērš lietotāja uzmanību ar nevainīga izskata dokumentu, piemēram, Microsoft Excel vai PDF failu, kamēr tas fonā instalē bīstamākos ļaunprogrammatūras komponentus.

Reālos draudus rada DomainManager.dll — ļaunprātīgs fails, kas stratēģiski atrodas Windows startēšanas mapē, kur tas nodrošina noturību, palaižot katru reizi, kad sistēma tiek atsāknēta. Šis fails sazinās ar attālo komandu un vadības (C2) serveri, nodrošinot uzbrucējiem kontroli pār inficēto ierīci. No turienes viņi var izspiegot failus, augšupielādēt sensitīvus datus, lejupielādēt citus ļaunprātīgus rīkus un pat dzēst vai pārdēvēt failus, lai aptvertu viņu pēdas.

AppDomainManager injekcija: viltīga tehnika

Šo uzbrukumu no citiem kiberuzbrukumiem atšķir gudra tehnikas, ko sauc par AppDomainManager injekciju, izmantošana. Lai gan tas var izklausīties sarežģīti, šī metode būtībā ļauj uzbrucējiem palaist ļaunprātīgu kodu ikreiz, kad tiek palaista likumīga programma, neradot trauksmes signālus. Šo taktiku nesen izmantoja cita hakeru grupa, kas ir saistīta ar Ķīnu, norādot, ka šī metode kļūst arvien populārāka kibernoziedznieku vidū visā pasaulē.

Garā spēle: kā APT37 izvairās no atklāšanas

Viens no iemesliem, kāpēc šī kampaņa tik ilgi nav atklāta, ir uzbrucēju pacietība. Pēc veiksmīgas VeilShell izvietošanas viņi to neaktivizē uzreiz. Tā vietā ļaunprogrammatūra neaktivizējas, līdz sistēma tiek pārstartēta. Šī aizkavētā aktivizēšana kopā ar ilgu miega laiku (pauzes izpildē) padara ļaunprātīgu programmatūru grūtāk atpazīstamu ar tradicionālajiem drošības rīkiem. Šīs metodes palīdz hakeriem ilgstoši izvairīties no atklāšanas, ļaujot viņiem savākt izlūkdatus un saglabāt kontroli pār apdraudētajām sistēmām.

Sekas un nākotnes draudi

Šis nesenais atklājums vairo pieaugošās bažas par Ziemeļkorejas kiberspējām. Visas grupas, piemēram, APT37, Lazarus un Kimsuky, ir saistītas ar valsts sponsorētiem kiberuzbrukumiem, kuru mērķis ir spiegošana , finansiāla peļņa un sabotāža. Arvien vairāk izmantojot sarežģītus rīkus, piemēram, VeilShell, šīs grupas rada ievērojamus draudus globālajai kiberdrošības ainavai.

Eksperti brīdina, ka šī kampaņa var viegli izplatīties ārpus Dienvidaustrumāzijas, jo Ziemeļkorejas hakeru grupas ir mērķētas uz vairākiem reģioniem, tostarp ASV un Eiropu. Faktiski tikai dažas dienas pirms VeilShell atklājuma cita Ziemeļkorejas grupa, kas pazīstama ar nosaukumu Andariel, finansiāli motivētā kampaņā sāka uzbrukumus ASV organizācijām.

Aizsardzība pret VeilShell un līdzīgiem draudiem

Organizācijām un privātpersonām tas uzsver, cik svarīgi ir saglabāt modrību pret pikšķerēšanas mēģinājumiem un nodrošināt, ka visas sistēmas tiek regulāri atjauninātas ar jaunākajiem drošības ielāpiem. Šeit ir daži padomi, kā samazināt šādu uzbrukumu risku:

1. Uzmanieties no neparedzētiem e-pasta ziņojumiem: ja saņemat e-pasta ziņojumu ar faila pielikumu vai saiti, ko negaidījāt, pirms noklikšķināšanas uz tās padomājiet divreiz.
2. Atjauniniet programmatūru: regulāra operētājsistēmu un lietojumprogrammu labošana var palīdzēt novērst drošības nepilnības, kuras uzbrucēji izmanto.

Noslēgumā jāsaka, ka ļaunprogrammatūra VeilShell un kampaņa SHROUDED#SLEEP ir stingrs atgādinājums par pastāvīgi mainīgajiem draudiem kiberdrošības pasaulē. Saglabājot piesardzību un veicot proaktīvus drošības pasākumus, privātpersonas un uzņēmumi var būt soli priekšā šiem bīstamajiem dalībniekiem.