Ang mga Hacker ng North Korea ay Nag-deploy ng Bagong VeilShell Backdoor sa Mga Palihim na Pag-atake sa Timog-silangang Asya

Sa isang nakakatakot na bagong paghahayag, ang North Korean cyber-espionage group ay nakitaan na gumagamit ng isang bagong backdoor malware na tinatawag na VeilShell para magsagawa ng mga palihim na cyber-attack sa buong Southeast Asia. Iniugnay ng mga eksperto sa seguridad ang aktibidad na ito sa APT37 , isang kilalang-kilalang grupo ng pag-hack na tumatakbo sa ilalim ng maraming alias, gaya ng InkySquid, Reaper, RedEyes, at ScarCruft. Sa pamamagitan ng mga link sa Ministri ng Seguridad ng Estado ng Hilagang Korea, naging aktibo ang APT37 mula noong 2012 at kilala sa mga sopistikadong cyber campaign nito na nagta-target sa mga sektor ng gobyerno at korporasyon.

Ang SHROUDED#SLEEP Campaign

Tinawag ng mga mananaliksik sa seguridad ang pinakabagong operasyong ito na SHROUDED#SLEEP, isang angkop na pangalan para sa palihim at pasensya na ipinakita ng mga cybercriminal na ito. Ang grupo ay pinaniniwalaang isasagawa ang kampanyang ito na may partikular na pagtutok sa Cambodia at iba pang mga bansa sa Southeast Asia. Sa pamamagitan ng paggamit ng VeilShell, isang remote access trojan (RAT) , nilalayon ng mga umaatake na magkaroon ng ganap na kontrol sa mga nakompromisong makina, na may kakayahang mag-exfiltrate ng data, manipulahin ang mga registry ng system, at palihim na mag-iskedyul ng mga gawain.

Paano Gumagana ang VeilShell?

Isa sa mga namumukod-tanging aspeto ng pag-atake na ito ay kung paano pumapasok ang VeilShell sa mga target na system nito. Bagama't hindi pa rin malinaw kung paano inihahatid ang paunang kargamento, pinaghihinalaan ng mga eksperto na ang grupo ay gumagamit ng mga spear-phishing na email—isang lubos na naka-target na paraan ng panlilinlang sa mga indibidwal na mag-click sa mga malisyosong link o mag-download ng mga nahawaang file. Ang unang yugto ng payload ay malamang na inihatid sa pamamagitan ng ZIP archive na naglalaman ng Windows shortcut (LNK) file.

Kapag inilunsad ng hindi mapag-aalinlanganang user ang LNK file, magti-trigger ito ng pagkakasunod-sunod ng mga aksyon. Isang PowerShell code—isang scripting language na karaniwang ginagamit sa mga Windows environment—ay tumatakbo sa likod ng mga eksena, na kumukuha ng mga karagdagang bahagi na nakatago sa loob ng file. Upang maiwasang maghinala, ang pag-atake ay nakakaabala sa user gamit ang isang inosenteng dokumento, gaya ng Microsoft Excel o PDF file, habang ini-install nito ang mas mapanganib na mga bahagi ng malware sa background.

Ang tunay na banta ay nagmumula sa DomainManager.dll, isang malisyosong file na madiskarteng inilagay sa Windows startup folder, kung saan tinitiyak nito ang pagtitiyaga sa pamamagitan ng pagtakbo sa tuwing magre-reboot ang system. Nakikipag-ugnayan ang file na ito sa isang remote command-and-control (C2) server, na nagbibigay sa mga attacker ng kontrol sa nahawaang device. Mula doon, maaari silang mag-espiya sa mga file, mag-upload ng sensitibong data, mag-download ng higit pang mga nakakahamak na tool, at kahit na tanggalin o palitan ang pangalan ng mga file upang masakop ang kanilang mga track.

Ang AppDomainManager Injection: Isang Palihim na Teknik

Ang pinagkaiba ng pag-atakeng ito sa iba pang cyber-attack ay ang matalinong paggamit ng technique na tinatawag na AppDomainManager injection. Bagama't ito ay mukhang kumplikado, ang pamamaraan ay talagang nagbibigay-daan sa mga umaatake na magpatakbo ng malisyosong code sa tuwing maglulunsad ang isang lehitimong programa, nang hindi nagtataas ng anumang mga alarma. Ang taktika na ito ay ginamit kamakailan ng isa pang grupo ng hacker na nakahanay sa China, na nagpapahiwatig na ang diskarteng ito ay nakakakuha ng katanyagan sa mga cybercriminal sa buong mundo.

Ang Mahabang Laro: Paano Iniiwasan ng APT37 ang Detection

Ang isang dahilan kung bakit ang kampanyang ito ay hindi natukoy nang napakatagal ay ang pasensya ng mga umaatake. Pagkatapos ng matagumpay na pag-deploy ng VeilShell, hindi nila ito ina-activate kaagad. Sa halip, natutulog ang malware hanggang sa ma-reboot ang system. Ang naantalang pag-activate na ito, na sinamahan ng mahabang oras ng pagtulog (pause sa execution), ay nagpapahirap sa malware na matukoy ng mga tradisyunal na tool sa seguridad. Tinutulungan ng mga diskarteng ito ang mga hacker na maiwasan ang pagtuklas sa mahabang panahon, na nagpapahintulot sa kanila na mangolekta ng katalinuhan at mapanatili ang kontrol sa mga nakompromisong system.

Mga Implikasyon at Mga Banta sa Hinaharap

Ang kamakailang pagtuklas na ito ay nagdaragdag sa lumalaking pag-aalala sa mga kakayahan sa cyber ng North Korea. Ang mga pangkat tulad ng APT37, Lazarus , at Kimsuky ay na-link lahat sa mga cyber-attack na itinataguyod ng estado na naglalayong mag-espiya , pakinabang sa pananalapi, at sabotahe. Sa dumaraming paggamit ng mga sopistikadong tool tulad ng VeilShell, ang mga pangkat na ito ay nagdudulot ng malaking banta sa pandaigdigang cybersecurity landscape.

Nagbabala ang mga eksperto na ang kampanyang ito ay madaling kumalat sa kabila ng Southeast Asia, dahil ang North Korean hacking group ay may kasaysayan ng pag-target sa maraming rehiyon, kabilang ang US at Europe. Sa katunayan, ilang araw lamang bago ang pagtuklas ng VeilShell, isa pang grupo ng North Korean na kilala bilang Andariel ang naglunsad ng mga pag-atake laban sa mga organisasyon ng US sa isang kampanyang may motibasyon sa pananalapi.

Pagprotekta Laban sa VeilShell at Mga Katulad na Banta

Para sa mga organisasyon at indibidwal, itinatampok nito ang kahalagahan ng pananatiling mapagbantay laban sa mga pagtatangka ng spear-phishing at pagtiyak na ang lahat ng mga system ay regular na naa-update gamit ang pinakabagong mga patch ng seguridad. Narito ang ilang mga tip upang mabawasan ang panganib ng mga naturang pag-atake:

1. Mag-ingat sa mga hindi inaasahang email: Kung nakatanggap ka ng email na may file attachment o link na hindi mo inaasahan, mag-isip nang dalawang beses bago ito i-click.
2. Panatilihing napapanahon ang software: Makakatulong ang regular na pag-patch ng mga operating system at application na isara ang mga puwang sa seguridad na sinasamantala ng mga umaatake.

Bilang konklusyon, ang VeilShell malware at ang SHROUDED#SLEEP na kampanya ay mga malinaw na paalala ng patuloy na umuusbong na mga banta sa mundo ng cybersecurity. Sa pamamagitan ng pananatiling maingat at pagsasagawa ng mga proactive na hakbang sa seguridad, ang mga indibidwal at negosyo ay maaaring manatiling isang hakbang sa unahan ng mga mapanganib na aktor na ito.