Hackers Norte-Coreanos Implantam o Novo Backdoor VeilShell com Ataques Furtivos no Sudeste da Ásia

Traduzir Para:

Em uma nova revelação assustadora, grupos de ciberespionagem norte-coreanos foram flagrados usando um novo malware de backdoor chamado VeilShell para executar ataques cibernéticos furtivos no Sudeste Asiático. Especialistas em segurança vincularam essa atividade ao APT37, um notório grupo de hackers que opera sob vários pseudônimos, como InkySquid, Reaper, RedEyes e ScarCruft. Com vínculos com o Ministério da Segurança do Estado da Coreia do Norte, o APT37 está ativo desde 2012 e é notório por suas sofisticadas campanhas cibernéticas visando setores governamentais e corporativos.

Índice

A Campanha SHROUDED#SLEEP

Pesquisadores de segurança apelidaram esta última operação de SHROUDED#SLEEP, um nome apropriado para a discrição e paciência demonstradas por esses cibercriminosos. Acredita-se que o grupo esteja realizando esta campanha com foco específico no Camboja e outros países do Sudeste Asiático. Ao alavancar o VeilShell, um trojan de acesso remoto (RAT), os invasores visam obter controle total das máquinas comprometidas, com a capacidade de exfiltrar dados, manipular registros do sistema e agendar tarefas secretamente.

Como o VeilShell Funciona?

Um dos aspectos de destaque desse ataque é como o VeilShell entra em seus sistemas alvo. Embora ainda não esteja claro como a carga inicial é entregue, especialistas suspeitam que o grupo usa e-mails de spear-phishing — um método altamente direcionado para enganar indivíduos a clicar em links maliciosos ou baixar arquivos infectados. A carga de primeiro estágio provavelmente é entregue por meio de um arquivo ZIP contendo um arquivo de atalho do Windows (LNK).

Uma vez que o usuário desavisado inicia o arquivo LNK, ele aciona uma sequência de ações. Um código PowerShell — uma linguagem de script comumente usada em ambientes Windows — é executado nos bastidores, extraindo mais componentes ocultos dentro do arquivo. Para evitar levantar suspeitas, o ataque distrai o usuário com um documento de aparência inocente, como um arquivo Microsoft Excel ou PDF, enquanto instala os componentes de malware mais perigosos em segundo plano.

A ameaça real vem do DomainManager.dll, um arquivo malicioso estrategicamente colocado na pasta de inicialização do Windows, onde ele garante persistência ao ser executado toda vez que o sistema reinicia. Este arquivo se comunica com um servidor remoto de comando e controle (C2), dando aos invasores controle sobre o dispositivo infectado. De lá, eles podem espionar arquivos, carregar dados confidenciais, baixar mais ferramentas maliciosas e até mesmo excluir ou renomear arquivos para cobrir seus rastros.

A Injeção AppDomainManager: Uma Técnica Furtiva

O que diferencia esse ataque de outros ataques cibernéticos é o uso inteligente de uma técnica chamada injeção AppDomainManager. Embora possa parecer complexo, o método essencialmente permite que os invasores executem código malicioso toda vez que um programa legítimo é iniciado, sem disparar nenhum alarme. Essa tática foi empregada recentemente por outro grupo de hackers alinhado à China, indicando que essa técnica está ganhando popularidade entre os criminosos cibernéticos em todo o mundo.

O Jogo Longo: Como o APT37 Escapa da Detecção

Um dos motivos pelos quais essa campanha passou despercebida por tanto tempo é a paciência dos invasores. Após implantar o VeilShell com sucesso, eles não o ativam imediatamente. Em vez disso, o malware fica inativo até que o sistema seja reinicializado. Essa ativação atrasada, combinada com longos tempos de hibernação (pausas na execução), torna o malware mais difícil de ser detectado por ferramentas de segurança tradicionais. Essas técnicas ajudam os hackers a evitar a detecção por longos períodos, permitindo que eles coletem inteligência e mantenham o controle sobre os sistemas comprometidos.

Implicações e Ameaças Futuras

Esta descoberta recente aumenta a preocupação crescente sobre as capacidades cibernéticas da Coreia do Norte. Grupos como APT37, Lazarus e Kimsuky foram todos vinculados a ataques cibernéticos patrocinados pelo estado visando espionagem, ganho financeiro e sabotagem. Com o uso crescente de ferramentas sofisticadas como VeilShell, esses grupos representam uma ameaça significativa ao cenário global de segurança cibernética.

Especialistas alertam que essa campanha pode facilmente se espalhar para além do Sudeste Asiático, já que grupos de hackers norte-coreanos têm um histórico de atacar várias regiões, incluindo os EUA e a Europa. Na verdade, poucos dias antes da descoberta do VeilShell, outro grupo norte-coreano conhecido como Andariel lançou ataques contra organizações dos EUA em uma campanha com motivação financeira.

Protegendo-se contra o VeilShell e Ameaças Semelhantes

Para organizações e indivíduos, isso destaca a importância de permanecer vigilante contra tentativas de spear-phishing e garantir que todos os sistemas sejam atualizados regularmente com os últimos patches de segurança. Aqui estão algumas dicas para reduzir o risco de tais ataques:

Tenha cuidado com e-mails inesperados: Se você receber um e-mail com um anexo de arquivo ou link que não esperava, pense duas vezes antes de clicar nele.
Mantenha o software atualizado: Aplicar patches regularmente em sistemas operacionais e aplicativos pode ajudar a fechar lacunas de segurança que os invasores exploram.
Use um software antivírus: Embora não seja infalível, um bom programa antivírus pode detectar e bloquear muitas ameaças comuns.
Habilite a Autenticação de Dois Fatores (2FA): Adicionar uma camada extra de segurança dificulta o acesso de invasores, mesmo que eles roubem sua senha.

Concluindo, o malware VeilShell e a campanha SHROUDED#SLEEP são lembretes gritantes das ameaças em constante evolução no mundo da segurança cibernética. Ao permanecerem cautelosos e tomarem medidas de segurança proativas, indivíduos e empresas podem ficar um passo à frente desses atores perigosos.

O SpyHunter para Windows da EnigmaSoft obteve a certificação AV-TEST

Buscar

Mudar de região