Multilicenčná zľavová ponuka
Počítačová bezpečnosť Severokórejskí hackeri nasadili nové zadné vrátka...

Severokórejskí hackeri nasadili nové zadné vrátka VeilShell pri tajných útokoch v juhovýchodnej Ázii

Do roku Mura v roku Počítačová bezpečnosť
Preložiť do:
Slovenčina

V mrazivom novom odhalení boli spozorované severokórejské kyberšpionážne skupiny, ktoré používajú nový backdoor malvér s názvom VeilShell na vykonávanie tajných kybernetických útokov v juhovýchodnej Ázii. Bezpečnostní experti spojili túto aktivitu s APT37 , notoricky známou hackerskou skupinou fungujúcou pod viacerými aliasmi, ako sú InkySquid, Reaper, RedEyes a ScarCruft. APT37 s prepojením na severokórejské ministerstvo štátnej bezpečnosti pôsobí od roku 2012 a je známy svojimi sofistikovanými kybernetickými kampaňami zameranými na vládny a podnikový sektor.

Kampaň SHROUDED#SLEEP

Bezpečnostní výskumníci nazvali túto najnovšiu operáciu SHROUDED#SLEEP, čo je výstižný názov pre tajnosť a trpezlivosť, ktorú títo kyberzločinci preukázali. Predpokladá sa, že skupina vykonáva túto kampaň so špecifickým zameraním na Kambodžu a ďalšie krajiny juhovýchodnej Ázie. Využitím VeilShell, trójskeho koňa so vzdialeným prístupom (RAT) , sa útočníci snažia získať plnú kontrolu nad napadnutými počítačmi so schopnosťou exfiltrovať dáta, manipulovať so systémovými registrami a tajne plánovať úlohy.

Ako VeilShell funguje?

Jedným z výnimočných aspektov tohto útoku je spôsob, akým VeilShell vstupuje do svojich cieľových systémov. Aj keď stále nie je jasné, ako sa doručuje počiatočné užitočné zaťaženie, odborníci sa domnievajú, že skupina používa e-maily typu spear-phishing – vysoko cielený spôsob oklamania jednotlivcov, aby klikli na škodlivé odkazy alebo stiahli infikované súbory. Užitočné zaťaženie prvej fázy je pravdepodobne doručené prostredníctvom archívu ZIP obsahujúceho súbor skratky systému Windows (LNK).

Akonáhle nič netušiaci používateľ spustí súbor LNK, spustí sa postupnosť akcií. Kód PowerShell – skriptovací jazyk bežne používaný v prostrediach Windows – beží za scénou a extrahuje ďalšie komponenty skryté v súbore. Aby sa zabránilo vzbudeniu podozrenia, útok odvádza pozornosť používateľa nevinne vyzerajúcim dokumentom, ako je súbor Microsoft Excel alebo PDF, pričom na pozadí inštaluje nebezpečnejšie komponenty škodlivého softvéru.

Skutočná hrozba pochádza zo súboru DomainManager.dll, škodlivého súboru strategicky umiestneného v spúšťacom priečinku Windows, kde zabezpečuje vytrvalosť spustením pri každom reštarte systému. Tento súbor komunikuje so vzdialeným serverom príkazov a ovládania (C2), čím útočníkom poskytuje kontrolu nad infikovaným zariadením. Odtiaľ môžu špehovať súbory, nahrávať citlivé údaje, sťahovať ďalšie škodlivé nástroje a dokonca vymazať alebo premenovať súbory, aby zakryli svoje stopy.

AppDomainManager Injection: Záludná technika

To, čo odlišuje tento útok od iných kybernetických útokov, je šikovné použitie techniky nazývanej injekcia AppDomainManager. Aj keď to môže znieť zložito, táto metóda v podstate umožňuje útočníkom spustiť škodlivý kód zakaždým, keď sa spustí legitímny program, bez toho, aby vyvolali akýkoľvek alarm. Túto taktiku nedávno použila iná hackerská skupina napojená na Čínu, čo naznačuje, že táto technika si získava na popularite medzi kyberzločincami na celom svete.

Dlhá hra: Ako sa APT37 vyhýba detekcii

Jedným z dôvodov, prečo bola táto kampaň tak dlho neodhalená, je trpezlivosť útočníkov. Po úspešnom nasadení VeilShell ho neaktivujú hneď. Namiesto toho je malvér nečinný, kým sa systém nereštartuje. Táto oneskorená aktivácia v kombinácii s dlhými časmi spánku (prestávky vo vykonávaní) sťažuje detekciu malvéru tradičnými bezpečnostnými nástrojmi. Tieto techniky pomáhajú hackerom vyhnúť sa odhaleniu na dlhú dobu, čo im umožňuje zhromažďovať informácie a udržiavať kontrolu nad napadnutými systémami.

Dôsledky a budúce hrozby

Tento nedávny objav prispieva k rastúcemu znepokojeniu nad kybernetickými schopnosťami Severnej Kórey. Skupiny ako APT37, Lazarus a Kimsuky boli všetky spojené so štátom sponzorovanými kybernetickými útokmi zameranými na špionáž , finančný zisk a sabotáž. S rastúcim využívaním sofistikovaných nástrojov, ako je VeilShell, tieto skupiny predstavujú významnú hrozbu pre globálnu kybernetickú bezpečnosť.

Odborníci varujú, že táto kampaň by sa mohla ľahko rozšíriť aj za juhovýchodnú Áziu, keďže severokórejské hackerské skupiny sa v minulosti zameriavali na viaceré regióny vrátane USA a Európy. V skutočnosti, len niekoľko dní pred objavom VeilShell, iná severokórejská skupina známa ako Andariel spustila útoky proti americkým organizáciám vo finančne motivovanej kampani.

Ochrana pred VeilShell a podobnými hrozbami

Pre organizácie a jednotlivcov to zdôrazňuje dôležitosť ostražitosti pred pokusmi o spear-phishing a zabezpečenie toho, aby boli všetky systémy pravidelne aktualizované najnovšími bezpečnostnými záplatami. Tu je niekoľko tipov na zníženie rizika takýchto útokov:

  1. Dávajte si pozor na neočakávané e-maily: Ak dostanete e-mail s prílohou alebo odkazom, ktorý ste neočakávali, dobre si rozmyslite, či naň kliknete.
  2. Udržujte softvér aktuálny: Pravidelná oprava operačných systémov a aplikácií môže pomôcť vyplniť bezpečnostné medzery, ktoré útočníci zneužívajú.
  • Používajte antivírusový softvér: Aj keď dobrý antivírusový program nie je spoľahlivý, dokáže odhaliť a blokovať mnohé bežné hrozby.
  • Povoliť dvojfaktorové overenie (2FA): Pridaním ďalšej vrstvy zabezpečenia je pre útočníkov ťažšie získať prístup, a to aj v prípade, že ukradnú vaše heslo.

    • Na záver, malvér VeilShell a kampaň SHROUDED#SLEEP sú jasnými pripomienkami neustále sa vyvíjajúcich hrozieb vo svete kybernetickej bezpečnosti. Opatrnosťou a prijatím proaktívnych bezpečnostných opatrení môžu jednotlivci a podniky zostať o krok vpred pred týmito nebezpečnými aktérmi.

    Načítava...