Північнокорейські хакери розгорнули новий бекдор VeilShell для прихованих атак у Південно-Східній Азії

У новому жахливому викритті північнокорейські кібершпигунські групи були помічені за допомогою нового бекдорного шкідливого програмного забезпечення під назвою VeilShell для здійснення прихованих кібератак у Південно-Східній Азії. Експерти з безпеки пов’язали цю діяльність з APT37 , сумнозвісною хакерською групою, яка працює під різними псевдонімами, такими як InkySquid, Reaper, RedEyes і ScarCruft. Маючи зв’язки з Міністерством державної безпеки Північної Кореї, APT37 активно працює з 2012 року та сумно відомий своїми складними кіберкампаніями, націленими на урядовий і корпоративний сектори.

Кампанія «ПОКРИТА#СОН».

Дослідники з безпеки назвали цю останню операцію СКРИТИМ#СОН, влучну назву для скритності та терпіння, продемонстрованих цими кіберзлочинцями. Вважається, що група проводить цю кампанію, зосереджуючись на Камбоджі та інших країнах Південно-Східної Азії. Використовуючи VeilShell, троян віддаленого доступу (RAT) , зловмисники прагнуть отримати повний контроль над скомпрометованими машинами, маючи можливість викрадати дані, маніпулювати системними реєстрами та таємно планувати завдання.

Як працює VeilShell?

Одним із видатних аспектів цієї атаки є те, як VeilShell проникає в цільові системи. Хоча досі незрозуміло, як доставляється початкове корисне навантаження, експерти підозрюють, що група використовує фішингові електронні листи — дуже цілеспрямований метод обману, щоб змусити людей натиснути шкідливі посилання або завантажити заражені файли. Корисне навантаження першого етапу, ймовірно, доставляється через архів ZIP, що містить файл ярлика Windows (LNK).

Щойно нічого не підозрюючи користувач запускає файл LNK, він запускає послідовність дій. Код PowerShell — мова сценаріїв, яка зазвичай використовується в середовищах Windows — працює за лаштунками, витягуючи додаткові компоненти, приховані у файлі. Щоб уникнути підозри, атака відволікає увагу користувача невинним на вигляд документом, наприклад файлом Microsoft Excel або PDF, у той час як вона встановлює більш небезпечні компоненти зловмисного програмного забезпечення у фоновому режимі.

Справжня загроза походить від DomainManager.dll, шкідливого файлу, стратегічно розміщеного в папці запуску Windows, де він забезпечує постійність, запускаючись під час кожного перезавантаження системи. Цей файл зв’язується з віддаленим сервером командування та керування (C2), надаючи зловмисникам контроль над зараженим пристроєм. Звідти вони можуть шпигувати за файлами, завантажувати конфіденційні дані, завантажувати більше шкідливих інструментів і навіть видаляти або перейменовувати файли, щоб замести сліди.

Ін’єкція AppDomainManager: підступна техніка

Що відрізняє цю атаку від інших кібератак, так це розумне використання техніки під назвою AppDomainManager injection. Хоча це може здатися складним, метод по суті дозволяє зловмисникам запускати шкідливий код кожного разу, коли запускається законна програма, не викликаючи жодних тривог. Цю тактику нещодавно застосувала інша група хакерів, пов’язана з Китаєм, що свідчить про те, що ця техніка набуває популярності серед кіберзлочинців у всьому світі.

Довга гра: як APT37 ухиляється від виявлення

Однією з причин, чому ця кампанія так довго залишалася непоміченою, є терпіння зловмисників. Після успішного розгортання VeilShell вони не активують його відразу. Натомість зловмисне програмне забезпечення перебуває в стані бездіяльності, доки система не буде перезавантажена. Ця затримка активації в поєднанні з тривалим часом сну (паузи у виконанні) ускладнює виявлення зловмисного програмного забезпечення традиційними засобами безпеки. Ці методи допомагають хакерам уникати виявлення протягом тривалого часу, дозволяючи їм збирати розвідувальні дані та підтримувати контроль над скомпрометованими системами.

Наслідки та майбутні загрози

Це нещодавнє відкриття посилює занепокоєння щодо кібер-можливостей Північної Кореї. Усі такі групи, як APT37, Lazarus і Kimsuky, були пов’язані з фінансованими державою кібератаками, спрямованими на шпигунство , фінансову вигоду та саботаж. Зі збільшенням використання таких складних інструментів, як VeilShell, ці групи становлять значну загрозу для глобальної кібербезпеки.

Експерти попереджають, що ця кампанія може легко поширитися за межі Південно-Східної Азії, оскільки хакерські групи Північної Кореї мають історію націлювання на кілька регіонів, включаючи США та Європу. Фактично, всього за кілька днів до відкриття VeilShell інше північнокорейське угруповання, відоме як Andariel, розпочало атаки на американські організації в рамках фінансово мотивованої кампанії.

Захист від VeilShell і подібних загроз

Для організацій і окремих осіб це підкреслює важливість бути пильними проти спроб фішингу та гарантувати, що всі системи регулярно оновлюються останніми виправленнями безпеки. Ось кілька порад, щоб зменшити ризик таких атак:

1. Будьте обережні з неочікуваними електронними листами: якщо ви отримали електронний лист із вкладеним файлом або посиланням, якого ви не очікували, двічі подумайте, перш ніж натиснути його.
2. Підтримуйте програмне забезпечення в актуальному стані: регулярне оновлення операційних систем і програм може допомогти усунути прогалини в безпеці, якими користуються зловмисники.

Підсумовуючи, зловмисне програмне забезпечення VeilShell і кампанія SHROUDED#SLEEP є яскравим нагадуванням про постійно розвиваються загрози у світі кібербезпеки. Залишаючись обережними та вживаючи профілактичних заходів безпеки, окремі особи та компанії можуть бути на крок попереду цих небезпечних гравців.