Hackerii nord-coreeni desfășoară o nouă ușă în spate VeilShell în atacuri ascunse în Asia de Sud-Est
Într-o nouă revelație înfricoșătoare, grupurile de spionaj cibernetic din Coreea de Nord au fost depistate folosind un nou malware de tip backdoor numit VeilShell pentru a executa atacuri cibernetice furtive în Asia de Sud-Est. Experții în securitate au legat această activitate de APT37 , un grup de hacking notoriu care operează sub mai multe pseudonime, cum ar fi InkySquid, Reaper, RedEyes și ScarCruft. Cu legături cu Ministerul Securității Statului din Coreea de Nord, APT37 este activ din 2012 și este renumit pentru campaniile sale cibernetice sofisticate care vizează sectoarele guvernamentale și corporative.
Cuprins
Campania SHROUDED#SLEEP
Cercetătorii în domeniul securității au numit această ultimă operațiune SHROUDED#SLEEP, un nume potrivit pentru stâlpirea și răbdarea demonstrate de acești criminali cibernetici. Se crede că grupul desfășoară această campanie cu un accent special pe Cambodgia și alte țări din Asia de Sud-Est. Folosind VeilShell, un troian de acces la distanță (RAT) , atacatorii urmăresc să obțină controlul deplin asupra mașinilor compromise, cu capacitatea de a exfiltra date, de a manipula registrele de sistem și de a programa sarcini pe ascuns.
Cum funcționează VeilShell?
Unul dintre aspectele remarcabile ale acestui atac este modul în care VeilShell intră în sistemele sale țintă. Deși încă nu este clar cum este livrată sarcina utilă inițială, experții bănuiesc că grupul folosește e-mailuri de tip spear-phishing - o metodă foarte țintită de a păcăli persoanele să facă clic pe linkuri rău intenționate sau să descarce fișiere infectate. Sarcina utilă din prima etapă este probabil livrată printr-o arhivă ZIP care conține un fișier de comandă rapidă Windows (LNK).
Odată ce utilizatorul nebănuit lansează fișierul LNK, acesta declanșează o secvență de acțiuni. Un cod PowerShell – un limbaj de scriptare folosit în mod obișnuit în mediile Windows – rulează în spatele scenei, extragând alte componente ascunse în fișier. Pentru a evita ridicarea suspiciunilor, atacul distrage utilizatorul cu un document cu aspect inocent, cum ar fi un fișier Microsoft Excel sau PDF, în timp ce instalează componentele malware mai periculoase în fundal.
Adevărata amenințare vine de la DomainManager.dll, un fișier rău intenționat plasat strategic în folderul de pornire Windows, unde asigură persistența rulând de fiecare dată când sistemul se repornește. Acest fișier comunică cu un server de comandă și control de la distanță (C2), oferind atacatorilor controlul asupra dispozitivului infectat. De acolo, ei pot spiona fișiere, pot încărca date sensibile, pot descărca mai multe instrumente rău intenționate și chiar pot șterge sau redenumi fișiere pentru a le acoperi urmele.
Injecția AppDomainManager: O tehnică ascunsă
Ceea ce diferențiază acest atac de alte atacuri cibernetice este utilizarea inteligentă a unei tehnici numite injecție AppDomainManager. Deși poate părea complexă, metoda le permite, în esență, atacatorilor să execute cod rău intenționat de fiecare dată când se lansează un program legitim, fără a declanșa alarme. Această tactică a fost folosită recent de un alt grup de hackeri aliniat cu China, ceea ce indică faptul că această tehnică câștigă popularitate în rândul infractorilor cibernetici din întreaga lume.
Jocul lung: cum APT37 eludează detectarea
Unul dintre motivele pentru care această campanie a rămas nedetectată atât de mult timp este răbdarea atacatorilor. După implementarea cu succes a VeilShell, nu îl activează imediat. În schimb, malware-ul rămâne inactiv până când sistemul este repornit. Această activare întârziată, combinată cu perioade lungi de somn (pauze în execuție), face malware-ul mai greu de detectat de instrumentele tradiționale de securitate. Aceste tehnici îi ajută pe hackeri să evite detectarea pentru perioade lungi, permițându-le să colecteze informații și să mențină controlul asupra sistemelor compromise.
Implicații și amenințări viitoare
Această descoperire recentă se adaugă la îngrijorarea tot mai mare cu privire la capacitățile cibernetice ale Coreei de Nord. Grupuri precum APT37, Lazarus și Kimsuky au fost toate legate de atacuri cibernetice sponsorizate de stat care vizează spionaj , câștiguri financiare și sabotaj. Odată cu utilizarea în creștere a instrumentelor sofisticate precum VeilShell, aceste grupuri reprezintă o amenințare semnificativă pentru peisajul securității cibernetice globale.
Experții avertizează că această campanie s-ar putea răspândi cu ușurință dincolo de Asia de Sud-Est, deoarece grupurile de hacking din Coreea de Nord au o istorie de a viza mai multe regiuni, inclusiv SUA și Europa. De fapt, cu doar câteva zile înainte de descoperirea VeilShell, un alt grup nord-coreean cunoscut sub numele de Andariel a lansat atacuri împotriva organizațiilor americane într-o campanie motivată financiar.
Protejarea împotriva VeilShell și a amenințărilor similare
Pentru organizații și persoane, acest lucru evidențiază importanța de a rămâne vigilenți împotriva tentativelor de spear-phishing și de a se asigura că toate sistemele sunt actualizate în mod regulat cu cele mai recente corecții de securitate. Iată câteva sfaturi pentru a reduce riscul unor astfel de atacuri:
- Fiți atenți la e-mailurile neașteptate: dacă primiți un e-mail cu un fișier atașat sau un link la care nu vă așteptați, gândiți-vă de două ori înainte de a da clic pe el.
- Păstrați software-ul actualizat: corecția regulată a sistemelor de operare și a aplicațiilor poate ajuta la eliminarea lacunelor de securitate pe care le exploatează atacatorii.
În concluzie, malware-ul VeilShell și campania SHROUDED#SLEEP sunt mementouri clare ale amenințărilor în continuă evoluție din lumea securității cibernetice. Fiind precauți și luând măsuri de securitate proactive, persoanele fizice și întreprinderile pot rămâne cu un pas înaintea acestor actori periculoși.