Północnokoreańscy hakerzy wdrażają nowe tylne drzwi VeilShell w ukrytych atakach w całej Azji Południowo-Wschodniej

W przerażającym nowym odkryciu północnokoreańskie grupy cybernetycznego szpiegostwa zostały zauważone przy użyciu nowego złośliwego oprogramowania typu backdoor o nazwie VeilShell do przeprowadzania ukrytych cyberataków w Azji Południowo-Wschodniej. Eksperci ds. bezpieczeństwa powiązali tę aktywność z APT37 , znaną grupą hakerską działającą pod wieloma aliasami, takimi jak InkySquid, Reaper, RedEyes i ScarCruft. Mająca powiązania z Ministerstwem Bezpieczeństwa Państwowego Korei Północnej, APT37 działa od 2012 r. i jest znana ze swoich wyrafinowanych cyberkampanii wymierzonych w sektory rządowy i korporacyjny.

Kampania SHROUDED#SLEEP

Badacze bezpieczeństwa nazwali tę najnowszą operację SHROUDED#SLEEP, trafną nazwą dla ukrycia i cierpliwości wykazywanych przez tych cyberprzestępców. Uważa się, że grupa prowadzi tę kampanię ze szczególnym uwzględnieniem Kambodży i innych krajów Azji Południowo-Wschodniej. Wykorzystując VeilShell, trojana zdalnego dostępu (RAT) , atakujący mają na celu uzyskanie pełnej kontroli nad zainfekowanymi maszynami, z możliwością eksfiltracji danych, manipulowania rejestrami systemowymi i planowania zadań w sposób ukryty.

Jak działa VeilShell?

Jednym z wyróżniających się aspektów tego ataku jest sposób, w jaki VeilShell dostaje się do docelowych systemów. Chociaż nadal nie wiadomo, w jaki sposób dostarczany jest początkowy ładunek, eksperci podejrzewają, że grupa używa e-maili typu spear-phishing — wysoce ukierunkowanej metody nakłaniania osób do klikania złośliwych linków lub pobierania zainfekowanych plików. Pierwszy ładunek jest prawdopodobnie dostarczany za pośrednictwem archiwum ZIP zawierającego plik skrótu systemu Windows (LNK).

Gdy niczego niepodejrzewający użytkownik uruchomi plik LNK, uruchamia on sekwencję działań. Kod programu PowerShell — język skryptowy powszechnie używany w środowiskach Windows — działa w tle, wyodrębniając kolejne komponenty ukryte w pliku. Aby uniknąć wzbudzenia podejrzeń, atak odwraca uwagę użytkownika niewinnie wyglądającym dokumentem, takim jak plik Microsoft Excel lub PDF, podczas gdy w tle instaluje bardziej niebezpieczne komponenty złośliwego oprogramowania.

Prawdziwe zagrożenie pochodzi z DomainManager.dll, złośliwego pliku strategicznie umieszczonego w folderze startowym systemu Windows, gdzie zapewnia trwałość, uruchamiając się przy każdym ponownym uruchomieniu systemu. Ten plik komunikuje się ze zdalnym serwerem poleceń i kontroli (C2), dając atakującym kontrolę nad zainfekowanym urządzeniem. Stamtąd mogą szpiegować pliki, przesyłać poufne dane, pobierać więcej złośliwych narzędzi, a nawet usuwać lub zmieniać nazwy plików, aby zatrzeć ślady.

Wstrzyknięcie AppDomainManager: podstępna technika

To, co odróżnia ten atak od innych cyberataków, to sprytne wykorzystanie techniki zwanej wstrzyknięciem AppDomainManager. Choć może to brzmieć skomplikowanie, metoda ta zasadniczo pozwala atakującym uruchamiać złośliwy kod za każdym razem, gdy uruchamiany jest legalny program, bez wywoływania żadnych alarmów. Tę taktykę niedawno zastosowała inna grupa hakerów powiązana z Chinami, co wskazuje, że ta technika zyskuje popularność wśród cyberprzestępców na całym świecie.

Długa gra: jak APT37 unika wykrycia

Jednym z powodów, dla których ta kampania tak długo pozostawała niewykryta, jest cierpliwość atakujących. Po pomyślnym wdrożeniu VeilShell nie aktywują go od razu. Zamiast tego złośliwe oprogramowanie pozostaje uśpione do momentu ponownego uruchomienia systemu. Ta opóźniona aktywacja w połączeniu z długimi czasami uśpienia (przerwy w wykonywaniu) sprawia, że złośliwe oprogramowanie jest trudniejsze do wykrycia przez tradycyjne narzędzia bezpieczeństwa. Te techniki pomagają hakerom unikać wykrycia przez długi czas, co pozwala im zbierać informacje wywiadowcze i utrzymywać kontrolę nad naruszonymi systemami.

Konsekwencje i przyszłe zagrożenia

To ostatnie odkrycie zwiększa rosnące obawy dotyczące cybernetycznych możliwości Korei Północnej. Grupy takie jak APT37, Lazarus i Kimsuky zostały powiązane ze sponsorowanymi przez państwo cyberatakami mającymi na celu szpiegostwo , zysk finansowy i sabotaż. Wraz ze wzrostem wykorzystania zaawansowanych narzędzi, takich jak VeilShell, grupy te stanowią poważne zagrożenie dla globalnego krajobrazu cyberbezpieczeństwa.

Eksperci ostrzegają, że ta kampania może łatwo rozprzestrzenić się poza Azję Południowo-Wschodnią, ponieważ północnokoreańskie grupy hakerskie mają historię atakowania wielu regionów, w tym USA i Europy. W rzeczywistości, zaledwie kilka dni przed odkryciem VeilShell, inna północnokoreańska grupa znana jako Andariel rozpoczęła ataki na organizacje amerykańskie w ramach kampanii motywowanej finansowo.

Ochrona przed VeilShell i podobnymi zagrożeniami

Dla organizacji i osób prywatnych podkreśla to znaczenie zachowania czujności wobec prób spear-phishingu i zapewnienia, że wszystkie systemy są regularnie aktualizowane o najnowsze poprawki zabezpieczeń. Oto kilka wskazówek, jak zmniejszyć ryzyko takich ataków:

1. Zachowaj ostrożność w przypadku niespodziewanych wiadomości e-mail: Jeśli otrzymasz wiadomość e-mail z załączonym plikiem lub linkiem, którego się nie spodziewałeś, zastanów się dwa razy, zanim w nią klikniesz.
2. Aktualizuj oprogramowanie: regularne łatanie systemów operacyjnych i aplikacji może pomóc w wyeliminowaniu luk w zabezpieczeniach, które wykorzystują atakujący.

Podsumowując, złośliwe oprogramowanie VeilShell i kampania SHROUDED#SLEEP są jaskrawym przypomnieniem stale ewoluujących zagrożeń w świecie cyberbezpieczeństwa. Pozostając ostrożnym i podejmując proaktywne środki bezpieczeństwa, osoby prywatne i firmy mogą być o krok przed tymi niebezpiecznymi aktorami.