Северокорейские хакеры используют новый бэкдор VeilShell для скрытых атак по всей Юго-Восточной Азии

В леденящем душу новом разоблачении северокорейские группы кибершпионажа были замечены с использованием нового вредоносного бэкдора под названием VeilShell для выполнения скрытых кибератак по всей Юго-Восточной Азии. Эксперты по безопасности связали эту деятельность с APT37 , печально известной хакерской группой, действующей под несколькими псевдонимами, такими как InkySquid, Reaper, RedEyes и ScarCruft. Имея связи с Министерством государственной безопасности Северной Кореи, APT37 действует с 2012 года и печально известна своими сложными киберкампаниями, нацеленными на правительственный и корпоративный секторы.

Кампания SHROUDED#SLEEP

Исследователи безопасности окрестили эту последнюю операцию SHROUDED#SLEEP, что является подходящим названием для скрытности и терпения, продемонстрированных этими киберпреступниками. Предполагается, что группа проводит эту кампанию, уделяя особое внимание Камбодже и другим странам Юго-Восточной Азии. Используя VeilShell, троян удаленного доступа (RAT) , злоумышленники стремятся получить полный контроль над скомпрометированными машинами, с возможностью извлечения данных, манипулирования системными реестрами и скрытного планирования задач.

Как работает VeilShell?

Одним из выдающихся аспектов этой атаки является то, как VeilShell проникает в целевые системы. Хотя до сих пор неясно, как доставляется начальная полезная нагрузка, эксперты подозревают, что группа использует фишинговые письма — узконаправленный метод обмана, заставляющий людей нажимать на вредоносные ссылки или загружать зараженные файлы. Полезная нагрузка первого этапа, вероятно, доставляется через ZIP-архив, содержащий файл ярлыка Windows (LNK).

Как только ничего не подозревающий пользователь запускает файл LNK, он запускает последовательность действий. Код PowerShell — скриптовый язык, обычно используемый в средах Windows — запускается за кулисами, извлекая дополнительные компоненты, скрытые в файле. Чтобы не вызывать подозрений, атака отвлекает пользователя невинно выглядящим документом, таким как файл Microsoft Excel или PDF, в то время как он устанавливает более опасные компоненты вредоносного ПО в фоновом режиме.

Реальная угроза исходит от DomainManager.dll, вредоносного файла, стратегически размещенного в папке автозагрузки Windows, где он обеспечивает постоянство, запускаясь каждый раз при перезагрузке системы. Этот файл связывается с удаленным сервером управления и контроля (C2), предоставляя злоумышленникам контроль над зараженным устройством. Оттуда они могут шпионить за файлами, загружать конфиденциальные данные, загружать больше вредоносных инструментов и даже удалять или переименовывать файлы, чтобы замести следы.

Внедрение AppDomainManager: хитрый прием

Что отличает эту атаку от других кибератак, так это умное использование техники, называемой инъекцией AppDomainManager. Хотя это может показаться сложным, этот метод по сути позволяет злоумышленникам запускать вредоносный код каждый раз, когда запускается легитимная программа, не поднимая никаких тревог. Эту тактику недавно применила другая хакерская группа, связанная с Китаем, что указывает на то, что эта техника набирает популярность среди киберпреступников по всему миру.

Долгая игра: как APT37 избегает обнаружения

Одной из причин, по которой эта кампания так долго оставалась незамеченной, является терпение злоумышленников. После успешного развертывания VeilShell они не активируют его сразу. Вместо этого вредоносная программа остается бездействующей до перезагрузки системы. Эта отложенная активация в сочетании с длительным временем сна (паузами в выполнении) затрудняет обнаружение вредоносной программы традиционными средствами безопасности. Эти методы помогают хакерам избегать обнаружения в течение длительного времени, что позволяет им собирать разведданные и сохранять контроль над скомпрометированными системами.

Последствия и будущие угрозы

Это недавнее открытие усиливает растущую обеспокоенность по поводу кибервозможностей Северной Кореи. Такие группы, как APT37, Lazarus и Kimsuky, были связаны с спонсируемыми государством кибератаками, направленными на шпионаж , финансовую выгоду и саботаж. С ростом использования сложных инструментов, таких как VeilShell, эти группы представляют значительную угрозу для глобального ландшафта кибербезопасности.

Эксперты предупреждают, что эта кампания может легко распространиться за пределы Юго-Восточной Азии, поскольку северокорейские хакерские группы имеют историю атак на несколько регионов, включая США и Европу. Фактически, всего за несколько дней до обнаружения VeilShell, другая северокорейская группа, известная как Andariel, начала атаки на американские организации в рамках финансово мотивированной кампании.

Защита от VeilShell и подобных угроз

Для организаций и частных лиц это подчеркивает важность сохранения бдительности в отношении попыток целевого фишинга и обеспечения регулярного обновления всех систем с помощью последних исправлений безопасности. Вот несколько советов по снижению риска таких атак:

1. Будьте осторожны с неожиданными электронными письмами: если вы получили письмо с вложенным файлом или ссылкой, которую вы не ожидали, подумайте дважды, прежде чем нажимать на нее.
2. Поддерживайте актуальность программного обеспечения: регулярное обновление операционных систем и приложений может помочь устранить бреши в системе безопасности, которыми пользуются злоумышленники.

В заключение следует отметить, что вредоносное ПО VeilShell и кампания SHROUDED#SLEEP являются суровым напоминанием о постоянно меняющихся угрозах в мире кибербезопасности. Оставаясь осторожными и принимая упреждающие меры безопасности, частные лица и компании могут оставаться на шаг впереди этих опасных субъектов.