Severnokorejski hekerji so uvedli nova stranska vrata VeilShell v prikritih napadih po vsej jugovzhodni Aziji

V srhljivem novem razkritju so severnokorejske kibernetske vohunske skupine opazili, da uporabljajo novo zlonamerno programsko opremo za zakulisna vrata, imenovano VeilShell, za izvajanje prikritih kibernetskih napadov po jugovzhodni Aziji. Varnostni strokovnjaki so to dejavnost povezali z APT37 , zloglasno hekersko skupino, ki deluje pod več vzdevki, kot so InkySquid, Reaper, RedEyes in ScarCruft. S povezavami s severnokorejskim ministrstvom za državno varnost je APT37 aktiven od leta 2012 in je razvpit po svojih prefinjenih kibernetskih kampanjah, ki ciljajo na vladne in poslovne sektorje.

Kampanja ZAGRITO#SPANJE

Varnostni raziskovalci so to najnovejšo operacijo poimenovali SHROUDED#SLEEP, kar je primerno ime za prikritost in potrpežljivost teh kiberkriminalcev. Skupina naj bi to kampanjo izvajala s posebnim poudarkom na Kambodži in drugih državah jugovzhodne Azije. Z uporabo VeilShell, trojanskega konja za oddaljeni dostop (RAT) , želijo napadalci pridobiti popoln nadzor nad ogroženimi stroji z možnostjo izločanja podatkov, manipulacije sistemskih registrov in prikritega načrtovanja nalog.

Kako deluje VeilShell?

Eden od izstopajočih vidikov tega napada je, kako VeilShell vstopi v svoje ciljne sisteme. Čeprav še vedno ni jasno, kako je dostavljen začetni tovor, strokovnjaki domnevajo, da skupina uporablja e-poštna sporočila s lažnim predstavljanjem – zelo ciljno usmerjeno metodo za prevaro posameznikov, da kliknejo zlonamerne povezave ali prenesejo okužene datoteke. Tovor prve stopnje je verjetno dostavljen prek arhiva ZIP, ki vsebuje datoteko Windows bližnjice (LNK).

Ko nič hudega sluteči uporabnik zažene datoteko LNK, ta sproži zaporedje dejanj. Koda PowerShell – skriptni jezik, ki se običajno uporablja v okoljih Windows – teče v zakulisju in ekstrahira nadaljnje komponente, skrite v datoteki. Da bi se izognili vzbujanju sumov, napad odvrne pozornost uporabnika z nedolžnim dokumentom, kot je datoteka Microsoft Excel ali PDF, medtem ko v ozadju namesti nevarnejše komponente zlonamerne programske opreme.

Resnična grožnja prihaja iz DomainManager.dll, zlonamerne datoteke, ki je strateško nameščena v zagonski mapi sistema Windows, kjer zagotavlja obstojnost tako, da se zažene ob vsakem ponovnem zagonu sistema. Ta datoteka komunicira z oddaljenim strežnikom za ukaze in nadzor (C2), kar napadalcem omogoča nadzor nad okuženo napravo. Od tam lahko vohunijo za datotekami, naložijo občutljive podatke, prenesejo več zlonamernih orodij in celo izbrišejo ali preimenujejo datoteke, da prikrijejo sledi.

Vbrizgavanje AppDomainManager: zahrbtna tehnika

Kar ločuje ta napad od drugih kibernetskih napadov, je pametna uporaba tehnike, imenovane AppDomainManager injection. Čeprav se morda sliši zapleteno, metoda v bistvu omogoča napadalcem, da zaženejo zlonamerno kodo vsakič, ko se zažene zakonit program, ne da bi sprožili kakršen koli alarm. To taktiko je nedavno uporabila druga hekerska skupina, povezana s Kitajsko, kar kaže, da ta tehnika postaja vse bolj priljubljena med kiberkriminalci po vsem svetu.

Dolga igra: Kako se APT37 izogne zaznavanju

Eden od razlogov, zakaj ta kampanja tako dolgo ni bila odkrita, je potrpežljivost napadalcev. Po uspešni uvedbi VeilShell-a ga ne aktivirajo takoj. Namesto tega zlonamerna programska oprema miruje, dokler se sistem znova ne zažene. Ta zakasnjena aktivacija v kombinaciji z dolgimi časi mirovanja (pavze pri izvajanju) povzroči, da je zlonamerno programsko opremo težje odkriti s tradicionalnimi varnostnimi orodji. Te tehnike pomagajo hekerjem, da se dolgo časa izognejo odkritju, kar jim omogoča zbiranje obveščevalnih podatkov in ohranjanje nadzora nad ogroženimi sistemi.

Posledice in prihodnje grožnje

To nedavno odkritje še povečuje zaskrbljenost zaradi kibernetskih zmogljivosti Severne Koreje. Skupine, kot so APT37, Lazarus in Kimsuky, so vse povezane s kibernetskimi napadi, ki jih sponzorira država in so namenjeni vohunjenju , finančnemu dobičku in sabotaži. Z naraščajočo uporabo sofisticiranih orodij, kot je VeilShell, te skupine predstavljajo veliko grožnjo globalni krajini kibernetske varnosti.

Strokovnjaki opozarjajo, da bi se ta kampanja zlahka razširila izven jugovzhodne Azije, saj so severnokorejske hekerske skupine že v preteklosti ciljale na več regij, vključno z ZDA in Evropo. Pravzaprav je le nekaj dni pred odkritjem VeilShell druga severnokorejska skupina, znana kot Andariel, začela napade na ameriške organizacije v finančno motivirani kampanji.

Zaščita pred VeilShell in podobnimi grožnjami

Za organizacije in posameznike to poudarja, kako pomembno je, da ostanejo pozorni na poskuse lažnega predstavljanja in zagotovijo, da so vsi sistemi redno posodobljeni z najnovejšimi varnostnimi popravki. Tu je nekaj nasvetov za zmanjšanje tveganja takih napadov:

1. Bodite pozorni na nepričakovana e-poštna sporočila: Če prejmete e-poštno sporočilo z datotečno prilogo ali povezavo, ki je niste pričakovali, dvakrat premislite, preden jo kliknete.
2. Poskrbite, da bo programska oprema posodobljena: Redno popravki operacijskih sistemov in aplikacij lahko pomagajo odpraviti varnostne vrzeli, ki jih napadalci izkoriščajo.

Skratka, zlonamerna programska oprema VeilShell in kampanja SHROUDED#SLEEP sta jasen opomin na nenehno razvijajoče se grožnje v svetu kibernetske varnosti. Če ostanejo previdni in sprejmejo proaktivne varnostne ukrepe, lahko posamezniki in podjetja ostanejo korak pred temi nevarnimi akterji.