Penggodam Korea Utara Menggunakan Pintu Belakang VeilShell Baharu dalam Serangan Senyap Di Seluruh Asia Tenggara
Dalam satu pendedahan baharu yang menyeramkan, kumpulan pengintipan siber Korea Utara telah dikesan menggunakan perisian hasad pintu belakang baharu yang dipanggil VeilShell untuk melaksanakan serangan siber senyap di seluruh Asia Tenggara. Pakar keselamatan telah mengaitkan aktiviti ini kepada APT37 , kumpulan penggodaman terkenal yang beroperasi di bawah berbilang alias, seperti InkySquid, Reaper, RedEyes dan ScarCruft. Dengan pautan kepada Kementerian Keselamatan Negara Korea Utara, APT37 telah aktif sejak 2012 dan terkenal dengan kempen siber canggihnya yang menyasarkan sektor kerajaan dan korporat.
Isi kandungan
Kempen #SLEEP TERSEBUT
Penyelidik keselamatan telah menggelar operasi terbaharu ini sebagai SHROUDED#SLEEP, nama yang sesuai untuk kesembunyian dan kesabaran yang ditunjukkan oleh penjenayah siber ini. Kumpulan itu dipercayai menjalankan kempen ini dengan tumpuan khusus di Kemboja dan negara lain di Asia Tenggara. Dengan memanfaatkan VeilShell, trojan akses jauh (RAT) , penyerang menyasarkan untuk mendapatkan kawalan penuh ke atas mesin yang terjejas, dengan keupayaan untuk mengeksfiltrasi data, memanipulasi pendaftaran sistem dan menjadualkan tugas secara rahsia.
Bagaimana VeilShell Berfungsi?
Salah satu aspek yang menonjol dalam serangan ini ialah bagaimana VeilShell memasuki sistem sasarannya. Walaupun masih tidak jelas cara muatan awal dihantar, pakar mengesyaki bahawa kumpulan itu menggunakan e-mel pancingan lembing—kaedah yang sangat disasarkan untuk memperdaya individu supaya mengklik pautan berniat jahat atau memuat turun fail yang dijangkiti. Muatan peringkat pertama mungkin dihantar melalui arkib ZIP yang mengandungi fail pintasan Windows (LNK).
Sebaik sahaja pengguna yang tidak mengesyaki melancarkan fail LNK, ia mencetuskan urutan tindakan. Kod PowerShell—bahasa skrip yang biasa digunakan dalam persekitaran Windows—berjalan di belakang tabir, mengekstrak komponen selanjutnya yang tersembunyi dalam fail. Untuk mengelak daripada menimbulkan syak wasangka, serangan itu mengalih perhatian pengguna dengan dokumen yang kelihatan tidak bersalah, seperti fail Microsoft Excel atau PDF, sementara ia memasang komponen perisian hasad yang lebih berbahaya di latar belakang.
Ancaman sebenar datang daripada DomainManager.dll, fail berniat jahat yang diletakkan secara strategik dalam folder permulaan Windows, di mana ia memastikan kegigihan dengan berjalan setiap kali sistem but semula. Fail ini berkomunikasi dengan pelayan arahan dan kawalan jauh (C2), memberikan penyerang kawalan ke atas peranti yang dijangkiti. Dari sana, mereka boleh mengintip fail, memuat naik data sensitif, memuat turun lebih banyak alat berniat jahat, dan juga memadam atau menamakan semula fail untuk menutup jejak mereka.
Suntikan AppDomainManager: Teknik Sneaky
Apa yang membezakan serangan ini daripada serangan siber lain ialah penggunaan bijak teknik yang dipanggil suntikan AppDomainManager. Walaupun kedengarannya rumit, kaedah ini pada dasarnya membenarkan penyerang menjalankan kod hasad setiap kali program yang sah dilancarkan, tanpa menimbulkan sebarang penggera. Taktik ini baru-baru ini digunakan oleh kumpulan penggodam lain yang sejajar dengan China, menunjukkan bahawa teknik ini semakin popular di kalangan penjenayah siber di seluruh dunia.
Permainan Panjang: Bagaimana APT37 Mengelak Pengesanan
Satu sebab kempen ini tidak dapat dikesan untuk sekian lama adalah kesabaran penyerang. Selepas berjaya menggunakan VeilShell, mereka tidak mengaktifkannya serta-merta. Sebaliknya, perisian hasad tidak aktif sehingga sistem dibut semula. Pengaktifan tertunda ini, digabungkan dengan masa tidur yang lama (jeda dalam pelaksanaan), menjadikan perisian hasad lebih sukar untuk dikesan oleh alat keselamatan tradisional. Teknik ini membantu penggodam mengelakkan pengesanan untuk tempoh yang lama, membolehkan mereka mengumpul risikan dan mengekalkan kawalan ke atas sistem yang terjejas.
Implikasi dan Ancaman Masa Depan
Penemuan baru-baru ini menambah kebimbangan yang semakin meningkat terhadap keupayaan siber Korea Utara. Kumpulan seperti APT37, Lazarus dan Kimsuky semuanya telah dikaitkan dengan serangan siber tajaan kerajaan yang bertujuan untuk pengintipan , keuntungan kewangan dan sabotaj. Dengan peningkatan penggunaan alat canggih seperti VeilShell, kumpulan ini menimbulkan ancaman besar kepada landskap keselamatan siber global.
Pakar memberi amaran bahawa kempen ini boleh merebak dengan mudah ke luar Asia Tenggara, kerana kumpulan penggodam Korea Utara mempunyai sejarah menyasarkan berbilang wilayah, termasuk AS dan Eropah. Malah, hanya beberapa hari sebelum penemuan VeilShell, satu lagi kumpulan Korea Utara yang dikenali sebagai Andariel melancarkan serangan terhadap organisasi AS dalam kempen bermotifkan kewangan.
Melindungi Terhadap VeilShell dan Ancaman Serupa
Bagi organisasi dan individu, ini menyerlahkan kepentingan untuk sentiasa berwaspada terhadap percubaan pancingan lembing dan memastikan semua sistem sentiasa dikemas kini dengan tampung keselamatan terkini. Berikut ialah beberapa petua untuk mengurangkan risiko serangan sedemikian:
- Berhati-hati dengan e-mel yang tidak dijangka: Jika anda menerima e-mel dengan lampiran fail atau pautan yang tidak anda jangkakan, fikir dua kali sebelum mengkliknya.
- Pastikan perisian terkini: Menampal sistem pengendalian dan aplikasi secara kerap boleh membantu merapatkan jurang keselamatan yang dieksploitasi oleh penyerang.
Kesimpulannya, perisian hasad VeilShell dan kempen SHROUDED#SLEEP adalah peringatan yang jelas tentang ancaman yang sentiasa berkembang dalam dunia keselamatan siber. Dengan kekal berhati-hati dan mengambil langkah keselamatan yang proaktif, individu dan perniagaan boleh kekal selangkah di hadapan aktor berbahaya ini.