Hakerët e Koresë së Veriut vendosin një derë të re të pasme VeilShell në sulme të fshehta në të gjithë Azinë Juglindore

Në një zbulim të ri rrëqethës, grupet e spiunazhit kibernetik të Koresë së Veriut janë parë duke përdorur një malware të ri të quajtur VeilShell për të ekzekutuar sulme të fshehta kibernetike në të gjithë Azinë Juglindore. Ekspertët e sigurisë e kanë lidhur këtë aktivitet me APT37 , një grup famëkeq hakerimi që vepron nën pseudonime të shumta, si InkySquid, Reaper, RedEyes dhe ScarCruft. Me lidhje me Ministrinë e Sigurisë së Shtetit të Koresë së Veriut, APT37 ka qenë aktive që nga viti 2012 dhe është e njohur për fushatat e saj të sofistikuara kibernetike që synojnë sektorët qeveritarë dhe të korporatave.

Fushata SHROUDED#SLEEP

Studiuesit e sigurisë e kanë quajtur këtë operacion të fundit SHROUDED#SLEEP, një emër i përshtatshëm për fshehtësinë dhe durimin e demonstruar nga këta kriminelë kibernetikë. Grupi besohet se po e kryen këtë fushatë me një fokus të veçantë në Kamboxhia dhe vende të tjera në Azinë Juglindore. Duke shfrytëzuar VeilShell, një trojan me qasje në distancë (RAT) , sulmuesit synojnë të fitojnë kontrollin e plotë të makinave të komprometuara, me aftësinë për të shfrytëzuar të dhënat, për të manipuluar regjistrat e sistemit dhe për të planifikuar detyrat në mënyrë të fshehtë.

Si funksionon VeilShell?

Një nga aspektet më të spikatura të këtij sulmi është se si VeilShell hyn në sistemet e tij të synuara. Ndonëse është ende e paqartë se si shpërndahet ngarkesa fillestare, ekspertët dyshojnë se grupi përdor email-e phishing - një metodë shumë e synuar për të mashtruar individët që të klikojnë lidhje me qëllim të keq ose të shkarkojnë skedarë të infektuar. Ngarkesa e fazës së parë ka të ngjarë të dorëzohet përmes një arkivi ZIP që përmban një skedar të shkurtoreve të Windows (LNK).

Sapo përdoruesi që nuk dyshon të lëshojë skedarin LNK, ai shkakton një sekuencë veprimesh. Një kod PowerShell - një gjuhë skriptimi që përdoret zakonisht në mjediset e Windows - funksionon prapa skenave, duke nxjerrë komponentë të mëtejshëm të fshehur brenda skedarit. Për të shmangur ngritjen e dyshimeve, sulmi e shpërqendron përdoruesin me një dokument me pamje të pafajshme, si p.sh. një skedar Microsoft Excel ose PDF, ndërsa instalon përbërësit më të rrezikshëm malware në sfond.

Kërcënimi i vërtetë vjen nga DomainManager.dll, një skedar me qëllim të keq i vendosur në mënyrë strategjike në dosjen e fillimit të Windows, ku siguron qëndrueshmëri duke ekzekutuar çdo herë që sistemi riniset. Ky skedar komunikon me një server komandimi dhe kontrolli në distancë (C2), duke u dhënë sulmuesve kontrollin mbi pajisjen e infektuar. Nga atje, ata mund të spiunojnë skedarët, të ngarkojnë të dhëna të ndjeshme, të shkarkojnë më shumë mjete me qëllim të keq dhe madje të fshijnë ose riemërtojnë skedarët për të mbuluar gjurmët e tyre.

Injeksioni i AppDomainManager: Një teknikë e poshtër

Ajo që e dallon këtë sulm nga sulmet e tjera kibernetike është përdorimi i zgjuar i një teknike të quajtur injeksioni AppDomainManager. Ndonëse mund të tingëllojë komplekse, metoda në thelb i lejon sulmuesit të ekzekutojnë kode me qëllim të keq sa herë që nis një program legjitim, pa ngritur asnjë alarm. Kjo taktikë u përdor së fundmi nga një grup tjetër hakerash i lidhur me Kinën, duke treguar se kjo teknikë po fiton popullaritet në mesin e kriminelëve kibernetikë në mbarë botën.

Loja e gjatë: Si APT37 shmang zbulimin

Një arsye pse kjo fushatë ka mbetur e pazbuluar për kaq gjatë është durimi i sulmuesve. Pas vendosjes me sukses të VeilShell, ata nuk e aktivizojnë atë menjëherë. Në vend të kësaj, malware qëndron i fjetur derisa sistemi të rindizet. Ky aktivizim i vonuar, i kombinuar me kohë të gjata gjumi (pauza në ekzekutim), e bën më të vështirë zbulimin e malware nga mjetet tradicionale të sigurisë. Këto teknika ndihmojnë hakerët të shmangin zbulimin për periudha të gjata, duke i lejuar ata të mbledhin inteligjencë dhe të mbajnë kontrollin mbi sistemet e komprometuara.

Implikimet dhe kërcënimet në të ardhmen

Ky zbulim i fundit shton shqetësimin në rritje mbi aftësitë kibernetike të Koresë së Veriut. Grupe si APT37, Lazarus dhe Kimsuky kanë qenë të gjithë të lidhur me sulme kibernetike të sponsorizuara nga shteti që synojnë spiunazhin , përfitimin financiar dhe sabotimin. Me përdorimin në rritje të mjeteve të sofistikuara si VeilShell, këto grupe paraqesin një kërcënim të rëndësishëm për peizazhin global të sigurisë kibernetike.

Ekspertët paralajmërojnë se kjo fushatë mund të përhapet lehtësisht përtej Azisë Juglindore, pasi grupet e hakerëve të Koresë së Veriut kanë një histori të shënjestrimit të rajoneve të shumta, duke përfshirë SHBA-në dhe Evropën. Në fakt, vetëm disa ditë para zbulimit të VeilShell, një grup tjetër koreano-verior i njohur si Andariel nisi sulme kundër organizatave amerikane në një fushatë të motivuar financiarisht.

Mbrojtja kundër VeilShell dhe kërcënimeve të ngjashme

Për organizatat dhe individët, kjo nxjerr në pah rëndësinë e të qenit vigjilent ndaj përpjekjeve të phishing-it dhe të garantuar që të gjitha sistemet të përditësohen rregullisht me arnimet më të fundit të sigurisë. Këtu janë disa këshilla për të zvogëluar rrezikun e sulmeve të tilla:

1. Jini të kujdesshëm ndaj emaileve të papritura: Nëse merrni një email me një bashkëngjitje skedari ose lidhje që nuk e prisnit, mendoni dy herë përpara se ta klikoni.
2. Mbani të përditësuar softuerin: Rregullimi i rregullt i sistemeve operative dhe aplikacioneve mund të ndihmojë në mbylljen e boshllëqeve të sigurisë që sulmuesit shfrytëzojnë.

Si përfundim, malware VeilShell dhe fushata SHROUDED#SLEEP janë kujtues të ashpër të kërcënimeve gjithnjë në zhvillim në botën e sigurisë kibernetike. Duke qëndruar të kujdesshëm dhe duke marrë masa proaktive sigurie, individët dhe bizneset mund të qëndrojnë një hap përpara këtyre aktorëve të rrezikshëm.