Nordkoreanske hackere distribuerer ny VeilShell-bakdør i snikende angrep over hele Sørøst-Asia

Med Mura i Datasikkerhet

Oversett til:

I en spennende ny avsløring har nordkoreanske cyberspionasjegrupper blitt oppdaget som bruker en ny bakdør malware kalt VeilShell for å utføre snikende cyberangrep over hele Sørøst-Asia. Sikkerhetseksperter har knyttet denne aktiviteten til APT37 , en beryktet hackergruppe som opererer under flere aliaser, som InkySquid, Reaper, RedEyes og ScarCruft. Med koblinger til Nord-Koreas departement for statssikkerhet, har APT37 vært aktiv siden 2012 og er beryktet for sine sofistikerte cyberkampanjer rettet mot myndigheter og bedriftssektorer.

Innholdsfortegnelse

SHROUDED#SLEEP-kampanjen

Sikkerhetsforskere har kalt denne siste operasjonen SHROUDED#SLEEP, et passende navn for sniking og tålmodighet demonstrert av disse nettkriminelle. Gruppen antas å gjennomføre denne kampanjen med et spesifikt fokus på Kambodsja og andre land i Sørøst-Asia. Ved å utnytte VeilShell, en fjerntilgangstrojaner (RAT) , tar angriperne sikte på å få full kontroll over kompromitterte maskiner, med muligheten til å eksfiltrere data, manipulere systemregistre og planlegge oppgaver skjult.

Hvordan fungerer VeilShell?

En av de fremtredende aspektene ved dette angrepet er hvordan VeilShell kommer inn i målsystemene sine. Selv om det fortsatt er uklart hvordan den opprinnelige nyttelasten leveres, mistenker eksperter at gruppen bruker spyd-phishing-e-poster – en svært målrettet metode for å lure enkeltpersoner til å klikke på skadelige lenker eller laste ned infiserte filer. Nyttelasten i første trinn leveres sannsynligvis via et ZIP-arkiv som inneholder en Windows-snarveisfil (LNK).

Når den intetanende brukeren starter LNK-filen, utløser den en sekvens av handlinger. En PowerShell-kode – et skriptspråk som vanligvis brukes i Windows-miljøer – kjører bak kulissene og trekker ut flere komponenter som er skjult i filen. For å unngå å vekke mistanke distraherer angrepet brukeren med et dokument som ser uskyldig ut, for eksempel en Microsoft Excel- eller PDF-fil, mens det installerer de farligere skadevarekomponentene i bakgrunnen.

Den virkelige trusselen kommer fra DomainManager.dll, en ondsinnet fil strategisk plassert i Windows-oppstartsmappen, der den sikrer utholdenhet ved å kjøre hver gang systemet starter på nytt. Denne filen kommuniserer med en ekstern kommando-og-kontroll-server (C2), og gir angriperne kontroll over den infiserte enheten. Derfra kan de spionere på filer, laste opp sensitive data, laste ned flere skadelige verktøy og til og med slette eller endre navn på filer for å dekke sporene deres.

AppDomainManager-injeksjonen: En fordekte teknikk

Det som skiller dette angrepet fra andre cyberangrep er den smarte bruken av en teknikk kalt AppDomainManager-injeksjon. Selv om det kan høres komplisert ut, lar metoden i hovedsak angripere kjøre ondsinnet kode hver gang et legitimt program starter, uten å utløse noen alarmer. Denne taktikken ble nylig brukt av en annen hackergruppe på linje med Kina, noe som indikerer at denne teknikken blir stadig mer populær blant nettkriminelle over hele verden.

The Long Game: How APT37 Evades Detection

En grunn til at denne kampanjen har vært uoppdaget så lenge, er angripernes tålmodighet. Etter å ha implementert VeilShell, aktiverer de den ikke med en gang. I stedet ligger skadelig programvare i dvale til systemet startes på nytt. Denne forsinkede aktiveringen, kombinert med lange søvntider (pauser i utførelse), gjør skadelig programvare vanskeligere å oppdage med tradisjonelle sikkerhetsverktøy. Disse teknikkene hjelper hackerne med å unngå oppdagelse i lange perioder, slik at de kan samle inn intelligens og opprettholde kontroll over de kompromitterte systemene.

Implikasjoner og fremtidige trusler

Denne nylige oppdagelsen bidrar til den økende bekymringen over Nord-Koreas cyberevner. Grupper som APT37, Lazarus og Kimsuky har alle vært knyttet til statsstøttede cyberangrep rettet mot spionasje , økonomisk vinning og sabotasje. Med den økende bruken av sofistikerte verktøy som VeilShell, utgjør disse gruppene en betydelig trussel mot det globale cybersikkerhetslandskapet.

Eksperter advarer om at denne kampanjen lett kan spre seg utover Sørøst-Asia, ettersom nordkoreanske hackergrupper har en historie med å målrette mot flere regioner, inkludert USA og Europa. Faktisk, bare dager før VeilShell-oppdagelsen, startet en annen nordkoreansk gruppe kjent som Andariel angrep mot amerikanske organisasjoner i en økonomisk motivert kampanje.

Beskyttelse mot VeilShell og lignende trusler

For organisasjoner og enkeltpersoner understreker dette viktigheten av å være årvåken mot spyd-phishing-forsøk og sikre at alle systemer jevnlig oppdateres med de nyeste sikkerhetsoppdateringene. Her er noen tips for å redusere risikoen for slike angrep:

Vær på vakt mot uventede e-poster: Hvis du mottar en e-post med et filvedlegg eller en lenke du ikke forventet, tenk deg om to ganger før du klikker på den.
Hold programvare oppdatert: Regelmessig oppdatering av operativsystemer og applikasjoner kan bidra til å lukke sikkerhetshull som angripere utnytter.

Bruk antivirusprogramvare: Selv om det ikke er idiotsikkert, kan et godt antivirusprogram oppdage og blokkere mange vanlige trusler.

Aktiver tofaktorautentisering (2FA): Å legge til et ekstra lag med sikkerhet gjør det vanskeligere for angripere å få tilgang, selv om de stjeler passordet ditt.

Konklusjonen er at VeilShell-malwaren og SHROUDED#SLEEP-kampanjen er sterke påminnelser om de stadig utviklende truslene i nettsikkerhetsverdenen. Ved å være forsiktige og ta proaktive sikkerhetstiltak, kan enkeltpersoner og bedrifter ligge et skritt foran disse farlige aktørene.

EnigmaSofts SpyHunter for Windows har oppnådd AV-TEST-sertifisering

Søk

Endre region