उत्तर कोरियाली ह्याकरहरूले दक्षिणपूर्व एशियाभरि लुकेका आक्रमणहरूमा नयाँ VeilShell ब्याकडोर तैनाथ गर्छन्
एउटा चिसो नयाँ खुलासामा, उत्तर कोरियाली साइबर-जासुसी समूहहरूले दक्षिणपूर्व एशियाभरि गुप्त साइबर-आक्रमणहरू कार्यान्वयन गर्न VeilShell भनिने नयाँ ब्याकडोर मालवेयर प्रयोग गरेर देखा परेको छ। सुरक्षा विशेषज्ञहरूले यस गतिविधिलाई APT37 मा लिङ्क गरेका छन्, एक कुख्यात ह्याकिङ समूह धेरै उपनामहरू, जस्तै InkySquid, Reaper, RedEyes, र ScarCruft अन्तर्गत सञ्चालन। उत्तर कोरियाको राज्य सुरक्षा मन्त्रालयसँगको सम्बन्धमा, APT37 2012 देखि सक्रिय छ र सरकारी र कर्पोरेट क्षेत्रहरूलाई लक्षित गर्ने परिष्कृत साइबर अभियानहरूको लागि कुख्यात छ।
सामग्रीको तालिका
श्राउड #स्लीप अभियान
सुरक्षा अन्वेषकहरूले यस नवीनतम अपरेशनलाई SHROUDED#SLEEP डब गरेका छन्, यी साइबर अपराधीहरूले देखाएको चोरी र धैर्यताको लागि उपयुक्त नाम। समूहले कम्बोडिया र दक्षिणपूर्वी एसियाका अन्य देशहरूमा विशेष ध्यान दिएर यो अभियान सञ्चालन गरिरहेको विश्वास छ। VeilShell, एक रिमोट एक्सेस ट्रोजन (RAT) को लाभ उठाएर, आक्रमणकारीहरूले डेटा निकाल्ने, प्रणाली रेजिस्ट्रीहरू हेरफेर गर्ने, र गोप्य रूपमा कार्यहरू अनुसूचित गर्ने क्षमताको साथ सम्झौता गरिएका मेसिनहरूको पूर्ण नियन्त्रण प्राप्त गर्ने लक्ष्य राख्छन्।
VeilShell कसरी काम गर्छ?
यस आक्रमणको एक स्ट्यान्डआउट पक्ष भनेको VeilShell कसरी यसको लक्षित प्रणालीहरूमा प्रवेश गर्छ। यद्यपि यो अझै अस्पष्ट छ कि कसरी प्रारम्भिक पेलोड डेलिभर हुन्छ, विशेषज्ञहरूले शंका गर्छन् कि समूहले भाला-फिसिङ इमेलहरू प्रयोग गर्दछ - व्यक्तिहरूलाई दुर्भावनापूर्ण लिङ्कहरू क्लिक गर्न वा संक्रमित फाइलहरू डाउनलोड गर्न ठगाउने एक उच्च लक्षित विधि। पहिलो चरणको पेलोड सम्भवतः विन्डोज सर्टकट (LNK) फाइल भएको ZIP अभिलेख मार्फत डेलिभर हुन्छ।
एकपटक शंकास्पद प्रयोगकर्ताले LNK फाइल सुरु गरेपछि, यसले कार्यहरूको अनुक्रम ट्रिगर गर्दछ। एक PowerShell कोड - एक स्क्रिप्टिङ भाषा सामान्यतया Windows वातावरणमा प्रयोग गरिन्छ - पर्दा पछाडि चल्छ, फाइल भित्र लुकेका थप कम्पोनेन्टहरू निकाल्दै। शंका उठाउनबाट बच्न, आक्रमणले प्रयोगकर्तालाई निर्दोष देखिने कागजात, जस्तै माइक्रोसफ्ट एक्सेल वा पीडीएफ फाइलबाट विचलित गर्दछ, जबकि यसले पृष्ठभूमिमा अझ खतरनाक मालवेयर कम्पोनेन्टहरू स्थापना गर्दछ।
वास्तविक खतरा DomainManager.dll बाट आउँछ, विन्डोज स्टार्टअप फोल्डरमा रणनीतिक रूपमा राखिएको एक खराब फाइल, जहाँ यसले प्रत्येक पटक प्रणाली रिबुट गर्दा चलाएर निरन्तरता सुनिश्चित गर्दछ। यो फाइलले रिमोट कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरसँग सञ्चार गर्छ, जसले आक्रमणकारीहरूलाई संक्रमित यन्त्रमाथि नियन्त्रण दिन्छ। त्यहाँबाट, तिनीहरूले फाइलहरूमा जासूसी गर्न सक्छन्, संवेदनशील डेटा अपलोड गर्न सक्छन्, थप दुर्भावनापूर्ण उपकरणहरू डाउनलोड गर्न सक्छन्, र तिनीहरूको ट्र्याकहरू कभर गर्न फाइलहरू मेटाउन वा पुन: नामकरण गर्न सक्छन्।
AppDomainManager इंजेक्शन: एक डरलाग्दो प्रविधि
यस आक्रमणलाई अन्य साइबर-आक्रमणहरूबाट अलग गर्ने कुरा भनेको AppDomainManager इन्जेक्सन भनिने प्रविधिको चलाखीपूर्ण प्रयोग हो। यद्यपि यो जटिल लाग्न सक्छ, विधिले अनिवार्य रूपमा आक्रमणकर्ताहरूलाई कुनै पनि अलार्म नउठाएर, वैध कार्यक्रम सुरु गर्दा प्रत्येक पटक मालिसियस कोड चलाउन अनुमति दिन्छ। यो युक्ति हालसालै चीनसँग पङ्क्तिबद्ध अर्को ह्याकर समूहले प्रयोग गरेको थियो, यसले संकेत गर्दछ कि यो प्रविधि विश्वव्यापी साइबर अपराधीहरू बीच लोकप्रिय हुँदैछ।
लामो खेल: कसरी APT37 पत्ता लगाउनबाट बचाउँछ
यो अभियान यति लामो समयसम्म पत्ता नलागेको एउटा कारण आक्रमणकारीहरूको धैर्यता हो। VeilShell सफलतापूर्वक तैनात गरेपछि, तिनीहरूले यसलाई तुरुन्तै सक्रिय गर्दैनन्। यसको सट्टा, प्रणाली रिबुट नभएसम्म मालवेयर निष्क्रिय हुन्छ। यो ढिलो सक्रियता, लामो सुत्ने समय (कार्यान्वयनमा पज) सँग मिलाएर, परम्परागत सुरक्षा उपकरणहरूद्वारा मालवेयर पत्ता लगाउन गाह्रो बनाउँछ। यी प्रविधिहरूले ह्याकरहरूलाई लामो समयसम्म पत्ता लगाउनबाट जोगिन मद्दत गर्छन्, उनीहरूलाई गुप्तचर सङ्कलन गर्न र सम्झौता प्रणालीहरूमा नियन्त्रण कायम राख्न अनुमति दिन्छ।
प्रभाव र भविष्यका खतराहरू
हालैको यो खोजले उत्तर कोरियाको साइबर क्षमतामा बढ्दो चिन्ता थपेको छ। APT37, Lazarus , र Kimsuky जस्ता समूहहरू सबै राज्य-प्रायोजित साइबर-आक्रमणहरूमा जासुसी, आर्थिक लाभ, र तोडफोडको उद्देश्यले जोडिएका छन्। VeilShell जस्ता परिष्कृत उपकरणहरूको बढ्दो प्रयोगको साथ, यी समूहहरूले विश्वव्यापी साइबर सुरक्षा परिदृश्यको लागि महत्त्वपूर्ण खतरा निम्त्याउँछन्।
विज्ञहरूले चेतावनी दिएका छन् कि यो अभियान सजिलै दक्षिणपूर्वी एशिया बाहिर फैलिन सक्छ, किनकि उत्तर कोरियाली ह्याकिङ समूहहरूले अमेरिका र युरोप लगायत धेरै क्षेत्रहरूलाई लक्षित गरेको इतिहास छ। वास्तवमा, VeilShell को खोज हुनु भन्दा केही दिन अघि, अन्डारियल भनेर चिनिने अर्को उत्तर कोरियाली समूहले आर्थिक रूपमा प्रेरित अभियानमा अमेरिकी संगठनहरू विरुद्ध आक्रमणहरू सुरु गर्यो।
VeilShell र समान खतराहरू विरुद्ध सुरक्षा
संस्था र व्यक्तिहरूका लागि, यसले भाला-फिसिङ प्रयासहरू विरुद्ध सतर्क रहन र सबै प्रणालीहरू नवीनतम सुरक्षा प्याचहरूसँग नियमित रूपमा अद्यावधिक गरिएको सुनिश्चित गर्ने महत्त्वलाई हाइलाइट गर्दछ। यस्ता आक्रमणहरूको जोखिम कम गर्न यहाँ केही सुझावहरू छन्:
- अप्रत्याशित इमेलहरूबाट सावधान रहनुहोस्: यदि तपाईंले अपेक्षा नगरेको फाइल संलग्न वा लिङ्क भएको इमेल प्राप्त गर्नुभयो भने, यसलाई क्लिक गर्नु अघि दुई पटक सोच्नुहोस्।
- सफ्टवेयरलाई अद्यावधिक राख्नुहोस्: नियमित रूपमा अपरेटिङ सिस्टम र अनुप्रयोगहरू प्याचिङले आक्रमणकारीहरूले शोषण गर्ने सुरक्षा ग्यापहरू बन्द गर्न मद्दत गर्न सक्छ।
अन्तमा, VeilShell मालवेयर र SHROUDED#SLEEP अभियान साइबरसुरक्षाको संसारमा सँधै विकसित हुने खतराहरूका स्पष्ट अनुस्मारकहरू हुन्। सतर्क रहँदा र सक्रिय सुरक्षा उपायहरू लिएर, व्यक्ति र व्यवसायहरू यी खतरनाक अभिनेताहरू भन्दा एक कदम अगाडि रहन सक्छन्।