Попуст за више лиценци
Цомпутер Сецурити Севернокорејски хакери примењују нови ВеилСхелл бацкдоор...

Севернокорејски хакери примењују нови ВеилСхелл бацкдоор у прикривеним нападима широм југоисточне Азије

До Mura. у Цомпутер Сецурити
Преведи на:
Српски

У застрашујућем новом открићу, групе за сајбер шпијунажу у Северној Кореји примећене су како користе нови бацкдоор малвер под називом ВеилСхелл за извођење тајних сајбер-напада широм југоисточне Азије. Стручњаци за безбедност су ову активност повезали са АПТ37 , озлоглашеном хакерском групом која ради под више алијаса, као што су ИнкиСкуид, Реапер, РедЕиес и СцарЦруфт. Са везама са Министарством државне безбедности Северне Кореје, АПТ37 је активан од 2012. године и познат је по својим софистицираним сајбер кампањама усмереним на владине и корпоративне секторе.

Кампања СХРОУДЕД#СЛЕЕП

Истраживачи безбедности су ову најновију операцију назвали СХРОУДЕД#СЛЕЕП, прикладан назив за прикривеност и стрпљење које су показали ови сајбер криминалци. Верује се да група спроводи ову кампању са посебним фокусом на Камбоџу и друге земље југоисточне Азије. Користећи ВеилСхелл, тројанац за даљински приступ (РАТ) , нападачи имају за циљ да стекну потпуну контролу над компромитованим машинама, уз могућност да ексфилтрирају податке, манипулишу системским регистрима и тајно планирају задатке.

Како ради ВеилСхелл?

Један од истакнутих аспеката овог напада је начин на који ВеилСхелл улази у своје циљне системе. Иако је још увек нејасно како се испоручује почетни корисни терет, стручњаци сумњају да група користи е-поруке за крађу идентитета – високо циљани метод преваривања појединаца да кликну на злонамерне везе или преузму заражене датотеке. Корисно оптерећење прве фазе се вероватно испоручује преко ЗИП архиве која садржи датотеку Виндовс пречице (ЛНК).

Једном када ништа не сумњајући корисник покрене ЛНК датотеку, она покреће низ радњи. ПоверСхелл код — скриптни језик који се обично користи у Виндовс окружењима — ради иза кулиса, издвајајући даље компоненте скривене у датотеци. Да би се избегла сумња, напад одвлачи пажњу корисника документом невиног изгледа, као што је Мицрософт Екцел или ПДФ датотека, док у позадини инсталира опасније компоненте злонамерног софтвера.

Права претња долази од ДомаинМанагер.длл, злонамерне датотеке која је стратешки смештена у директоријум за покретање оперативног система Виндовс, где обезбеђује постојаност покретањем сваки пут када се систем поново покрене. Ова датотека комуницира са сервером за удаљену команду и контролу (Ц2), дајући нападачима контролу над зараженим уређајем. Одатле могу да шпијунирају датотеке, отпремају осетљиве податке, преузимају више злонамерних алата, па чак и бришу или преименују датотеке како би прикрили своје трагове.

Ињекција АппДомаинМанагер-а: лукава техника

Оно што овај напад издваја од других сајбер напада је паметна употреба технике која се зове АппДомаинМанагер ињекција. Иако може звучати сложено, овај метод у суштини омогућава нападачима да покрену злонамерни код сваки пут када се легитимни програм покрене, без подизања аларма. Ову тактику је недавно применила друга хакерска група повезана са Кином, што указује да ова техника постаје све популарнија међу сајбер криминалцима широм света.

Дуга игра: Како АПТ37 избегава откривање

Један од разлога зашто је ова кампања тако дуго била неоткривена је стрпљење нападача. Након успешног постављања ВеилСхелл-а, не активирају га одмах. Уместо тога, злонамерни софтвер мирује док се систем не покрене поново. Ова одложена активација, у комбинацији са дугим временима мировања (паузе у извршавању), чини малвер тежим за откривање традиционалним безбедносним алатима. Ове технике помажу хакерима да избегну откривање током дужег периода, омогућавајући им да прикупе обавештајне податке и задрже контролу над компромитованим системима.

Импликације и будуће претње

Ово недавно откриће доприноси растућој забринутости око сајбер способности Северне Кореје. Групе као што су АПТ37, Лазарус и Кимсуки су све повезане са сајбер-нападима које спонзорише држава са циљем шпијунаже , финансијске добити и саботаже. Уз све већу употребу софистицираних алата као што је ВеилСхелл, ове групе представљају значајну претњу глобалном пејзажу сајбер безбедности.

Стручњаци упозоравају да би се ова кампања лако могла проширити ван југоисточне Азије, пошто су севернокорејске хакерске групе у прошлости циљале више региона, укључујући САД и Европу. У ствари, само неколико дана пре открића ВеилСхелл-а, друга севернокорејска група позната као Андариел покренула је нападе на америчке организације у финансијски мотивисаној кампањи.

Заштита од ВеилСхелл-а и сличних претњи

За организације и појединце, ово наглашава важност опреза против покушаја крађе идентитета и обезбеђивања да се сви системи редовно ажурирају најновијим безбедносним закрпама. Ево неколико савета за смањење ризика од таквих напада:

  1. Будите опрезни са неочекиваним имејловима: Ако примите е-поруку са прилогом датотеке или везом коју нисте очекивали, размислите двапут пре него што кликнете на њу.
  2. Одржавајте софтвер ажурним: Редовно закрпе оперативних система и апликација може помоћи да се поправе безбедносне празнине које нападачи искоришћавају.
  • Користите антивирусни софтвер: Иако није сигуран, добар антивирусни програм може да открије и блокира многе уобичајене претње.
  • Омогућите двофакторску аутентификацију (2ФА): додавање додатног слоја сигурности отежава нападачима приступ, чак и ако вам украду лозинку.

    • У закључку, злонамерни софтвер ВеилСхелл и кампања СХРОУДЕД#СЛЕЕП оштри су подсетници на све веће претње у свету сајбер безбедности. Ако остану опрезни и предузимају проактивне мере безбедности, појединци и предузећа могу да остану корак испред ових опасних актера.

    Учитавање...