ఉత్తర కొరియా హ్యాకర్లు ఆగ్నేయాసియా అంతటా రహస్య దాడులలో కొత్త వీల్షెల్ బ్యాక్డోర్ను మోహరించారు
ఆశ్చర్యకరమైన కొత్త వెల్లడిలో, ఉత్తర కొరియా సైబర్-గూఢచర్య సమూహాలు ఆగ్నేయాసియా అంతటా రహస్య సైబర్-దాడులను అమలు చేయడానికి వీల్షెల్ అనే కొత్త బ్యాక్డోర్ మాల్వేర్ను ఉపయోగిస్తున్నట్లు గుర్తించబడ్డాయి. భద్రతా నిపుణులు ఈ కార్యాచరణను APT37 కి లింక్ చేసారు, ఇది InkySquid, Reaper, RedEyes మరియు ScarCruft వంటి బహుళ మారుపేర్లతో పనిచేస్తున్న అపఖ్యాతి పాలైన హ్యాకింగ్ సమూహం. ఉత్తర కొరియా రాష్ట్ర భద్రతా మంత్రిత్వ శాఖకు లింక్లతో, APT37 2012 నుండి క్రియాశీలంగా ఉంది మరియు ప్రభుత్వ మరియు కార్పొరేట్ రంగాలను లక్ష్యంగా చేసుకుని దాని అధునాతన సైబర్ ప్రచారాలకు ప్రసిద్ధి చెందింది.
విషయ సూచిక
SHROUDED#SLEP ప్రచారం
భద్రతా పరిశోధకులు ఈ తాజా ఆపరేషన్ను SHROUDED#SLEEP అని పిలిచారు, ఈ సైబర్ నేరస్థులు ప్రదర్శించే దొంగతనం మరియు సహనానికి సముచితమైన పేరు. ఈ బృందం కంబోడియా మరియు ఆగ్నేయాసియాలోని ఇతర దేశాలపై నిర్దిష్ట దృష్టితో ఈ ప్రచారాన్ని చేస్తోందని నమ్ముతారు. వీల్షెల్, రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ని ఉపయోగించడం ద్వారా, దాడి చేసేవారు రాజీపడిన మెషీన్లపై పూర్తి నియంత్రణను పొందాలని లక్ష్యంగా పెట్టుకున్నారు, డేటాను నిర్వీర్యం చేయగల సామర్థ్యం, సిస్టమ్ రిజిస్ట్రీలను మార్చడం మరియు టాస్క్లను రహస్యంగా షెడ్యూల్ చేయడం.
VeilShell ఎలా పని చేస్తుంది?
వీల్షెల్ దాని లక్ష్య వ్యవస్థల్లోకి ఎలా ప్రవేశిస్తుంది అనేది ఈ దాడి యొక్క ముఖ్యమైన అంశాలలో ఒకటి. ప్రారంభ పేలోడ్ ఎలా డెలివరీ చేయబడుతుందో ఇప్పటికీ అస్పష్టంగా ఉన్నప్పటికీ, గుంపు స్పియర్-ఫిషింగ్ ఇమెయిల్లను ఉపయోగిస్తుందని నిపుణులు అనుమానిస్తున్నారు-ఇది హానికరమైన లింక్లను క్లిక్ చేయడం లేదా సోకిన ఫైల్లను డౌన్లోడ్ చేయడంలో వ్యక్తులను మోసగించే అత్యంత లక్ష్య పద్ధతి. Windows షార్ట్కట్ (LNK) ఫైల్ని కలిగి ఉన్న జిప్ ఆర్కైవ్ ద్వారా మొదటి-దశ పేలోడ్ డెలివరీ చేయబడవచ్చు.
సందేహించని వినియోగదారు LNK ఫైల్ను ప్రారంభించిన తర్వాత, ఇది చర్యల క్రమాన్ని ప్రేరేపిస్తుంది. పవర్షెల్ కోడ్—సాధారణంగా Windows పరిసరాలలో ఉపయోగించే స్క్రిప్టింగ్ భాష—తెర వెనుక నడుస్తుంది, ఫైల్లో దాగి ఉన్న మరిన్ని భాగాలను సంగ్రహిస్తుంది. అనుమానం రాకుండా ఉండేందుకు, మైక్రోసాఫ్ట్ ఎక్సెల్ లేదా PDF ఫైల్ వంటి అమాయకంగా కనిపించే పత్రంతో దాడి వినియోగదారుని దృష్టిని మరల్చుతుంది, అయితే ఇది నేపథ్యంలో మరింత ప్రమాదకరమైన మాల్వేర్ భాగాలను ఇన్స్టాల్ చేస్తుంది.
Windows స్టార్టప్ ఫోల్డర్లో వ్యూహాత్మకంగా ఉంచబడిన ఒక హానికరమైన ఫైల్ DomainManager.dll నుండి నిజమైన ముప్పు వస్తుంది, ఇక్కడ సిస్టమ్ రీబూట్ అయిన ప్రతిసారీ అమలు చేయడం ద్వారా ఇది నిలకడను నిర్ధారిస్తుంది. ఈ ఫైల్ రిమోట్ కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్తో కమ్యూనికేట్ చేస్తుంది, సోకిన పరికరంపై దాడి చేసేవారికి నియంత్రణ ఇస్తుంది. అక్కడ నుండి, వారు ఫైల్లపై గూఢచర్యం చేయవచ్చు, సున్నితమైన డేటాను అప్లోడ్ చేయవచ్చు, మరిన్ని హానికరమైన సాధనాలను డౌన్లోడ్ చేయవచ్చు మరియు వారి ట్రాక్లను కవర్ చేయడానికి ఫైల్లను తొలగించవచ్చు లేదా పేరు మార్చవచ్చు.
AppDomainManager ఇంజెక్షన్: ఒక స్నీకీ టెక్నిక్
ఈ దాడిని ఇతర సైబర్-దాడుల నుండి వేరు చేసేది AppDomainManager ఇంజెక్షన్ అనే సాంకేతికతను తెలివిగా ఉపయోగించడం. ఇది సంక్లిష్టంగా అనిపించినప్పటికీ, చట్టబద్ధమైన ప్రోగ్రామ్ను ప్రారంభించిన ప్రతిసారీ ఎటువంటి అలారాలు లేకుండా హానికరమైన కోడ్ని అమలు చేయడానికి ఈ పద్ధతి తప్పనిసరిగా దాడి చేసేవారిని అనుమతిస్తుంది. ఈ వ్యూహాన్ని ఇటీవల చైనాతో జతకట్టిన మరొక హ్యాకర్ సమూహం ఉపయోగించింది, ఈ సాంకేతికత ప్రపంచవ్యాప్తంగా సైబర్ నేరస్థులలో ప్రజాదరణ పొందుతుందని సూచిస్తుంది.
లాంగ్ గేమ్: APT37 డిటెక్షన్ను ఎలా తప్పించుకుంటుంది
ఈ ప్రచారం చాలా కాలంగా గుర్తించబడకపోవడానికి ఒక కారణం దాడి చేసేవారి సహనం. VeilShellని విజయవంతంగా అమలు చేసిన తర్వాత, వారు దానిని వెంటనే యాక్టివేట్ చేయరు. బదులుగా, సిస్టమ్ రీబూట్ అయ్యే వరకు మాల్వేర్ నిద్రాణంగా ఉంటుంది. ఈ ఆలస్యమైన యాక్టివేషన్, సుదీర్ఘ నిద్ర సమయాలతో కలిపి (ఎగ్జిక్యూషన్లో పాజ్లు), సాంప్రదాయ భద్రతా సాధనాల ద్వారా మాల్వేర్ను గుర్తించడం కష్టతరం చేస్తుంది. ఈ టెక్నిక్లు హ్యాకర్లు చాలా కాలం పాటు గుర్తింపును నివారించడంలో సహాయపడతాయి, ఇవి తెలివితేటలను సేకరించడానికి మరియు రాజీపడిన సిస్టమ్లపై నియంత్రణను కొనసాగించడానికి వీలు కల్పిస్తాయి.
చిక్కులు మరియు భవిష్యత్తు బెదిరింపులు
ఈ ఇటీవలి ఆవిష్కరణ ఉత్తర కొరియా సైబర్ సామర్థ్యాలపై పెరుగుతున్న ఆందోళనను పెంచుతుంది. APT37, Lazarus మరియు Kimsuky వంటి సమూహాలు అన్నీ గూఢచర్యం, ఆర్థిక లాభం మరియు విధ్వంసానికి ఉద్దేశించిన రాష్ట్ర-ప్రాయోజిత సైబర్-దాడులతో ముడిపడి ఉన్నాయి. వీల్షెల్ వంటి అధునాతన సాధనాల వినియోగం పెరుగుతున్నందున, ఈ సమూహాలు ప్రపంచ సైబర్ సెక్యూరిటీ ల్యాండ్స్కేప్కు గణనీయమైన ముప్పును కలిగిస్తాయి.
ఉత్తర కొరియా హ్యాకింగ్ గ్రూపులు US మరియు యూరప్తో సహా అనేక ప్రాంతాలను లక్ష్యంగా చేసుకున్న చరిత్రను కలిగి ఉన్నందున, ఈ ప్రచారం ఆగ్నేయాసియా వెలుపల సులభంగా వ్యాపించవచ్చని నిపుణులు హెచ్చరిస్తున్నారు. నిజానికి, VeilShell ఆవిష్కరణకు కొద్ది రోజుల ముందు, Andariel అని పిలువబడే మరొక ఉత్తర కొరియా సమూహం ఆర్థికంగా ప్రేరేపించబడిన ప్రచారంలో US సంస్థలపై దాడులను ప్రారంభించింది.
వీల్షెల్ మరియు ఇలాంటి బెదిరింపులకు వ్యతిరేకంగా రక్షణ
సంస్థలు మరియు వ్యక్తుల కోసం, ఇది స్పియర్-ఫిషింగ్ ప్రయత్నాల పట్ల అప్రమత్తంగా ఉండటం మరియు అన్ని సిస్టమ్లు తాజా భద్రతా ప్యాచ్లతో క్రమం తప్పకుండా నవీకరించబడటం యొక్క ప్రాముఖ్యతను హైలైట్ చేస్తుంది. అటువంటి దాడుల ప్రమాదాన్ని తగ్గించడానికి ఇక్కడ కొన్ని చిట్కాలు ఉన్నాయి:
- ఊహించని ఇమెయిల్ల పట్ల జాగ్రత్తగా ఉండండి: మీరు ఊహించని ఫైల్ అటాచ్మెంట్ లేదా లింక్తో కూడిన ఇమెయిల్ను మీరు స్వీకరిస్తే, దాన్ని క్లిక్ చేసే ముందు ఒకటికి రెండుసార్లు ఆలోచించండి.
- సాఫ్ట్వేర్ను తాజాగా ఉంచండి: ఆపరేటింగ్ సిస్టమ్లు మరియు అప్లికేషన్లను క్రమం తప్పకుండా ప్యాచ్ చేయడం వల్ల దాడి చేసేవారు దోపిడీ చేసే భద్రతా అంతరాలను మూసివేయడంలో సహాయపడుతుంది.
ముగింపులో, VeilShell మాల్వేర్ మరియు SHROUDED#SLEEP ప్రచారం సైబర్ సెక్యూరిటీ ప్రపంచంలో ఎప్పటికప్పుడు అభివృద్ధి చెందుతున్న బెదిరింపులకు స్పష్టమైన రిమైండర్లు. జాగ్రత్తగా ఉండటం మరియు చురుకైన భద్రతా చర్యలు తీసుకోవడం ద్వారా, వ్యక్తులు మరియు వ్యాపారాలు ఈ ప్రమాదకరమైన నటుల కంటే ఒక అడుగు ముందు ఉండగలవు.