Tin tặc Bắc Triều Tiên triển khai cửa hậu VeilShell mới trong các cuộc tấn công lén lút trên khắp Đông Nam Á

Trong một tiết lộ mới đáng sợ, các nhóm gián điệp mạng của Triều Tiên đã bị phát hiện sử dụng một phần mềm độc hại cửa sau mới có tên là VeilShell để thực hiện các cuộc tấn công mạng lén lút trên khắp Đông Nam Á. Các chuyên gia bảo mật đã liên kết hoạt động này với APT37 , một nhóm tin tặc khét tiếng hoạt động dưới nhiều bí danh, chẳng hạn như InkySquid, Reaper, RedEyes và ScarCruft. Với mối liên hệ với Bộ An ninh Nhà nước Triều Tiên, APT37 đã hoạt động từ năm 2012 và khét tiếng với các chiến dịch mạng tinh vi nhắm vào các lĩnh vực chính phủ và doanh nghiệp.

Chiến dịch SHROUDED#SLEEP

Các nhà nghiên cứu bảo mật đã đặt tên cho hoạt động mới nhất này là SHROUDED#SLEEP, một cái tên phù hợp với sự ẩn núp và kiên nhẫn mà những tên tội phạm mạng này thể hiện. Nhóm này được cho là đang thực hiện chiến dịch này với trọng tâm cụ thể là Campuchia và các quốc gia khác ở Đông Nam Á. Bằng cách tận dụng VeilShell, một trojan truy cập từ xa (RAT) , những kẻ tấn công muốn giành quyền kiểm soát hoàn toàn các máy bị xâm nhập, với khả năng đánh cắp dữ liệu, thao túng sổ đăng ký hệ thống và lên lịch tác vụ một cách bí mật.

VeilShell hoạt động như thế nào?

Một trong những khía cạnh nổi bật của cuộc tấn công này là cách VeilShell xâm nhập vào hệ thống mục tiêu của nó. Mặc dù vẫn chưa rõ cách thức phân phối tải trọng ban đầu, các chuyên gia nghi ngờ rằng nhóm này sử dụng email lừa đảo có chủ đích—một phương pháp có mục tiêu cao để lừa cá nhân nhấp vào liên kết độc hại hoặc tải xuống các tệp bị nhiễm. Tải trọng giai đoạn đầu có khả năng được phân phối thông qua tệp ZIP chứa tệp lối tắt Windows (LNK).

Khi người dùng không nghi ngờ gì khởi chạy tệp LNK, nó sẽ kích hoạt một chuỗi hành động. Một mã PowerShell—một ngôn ngữ kịch bản thường được sử dụng trong môi trường Windows—chạy ẩn, trích xuất thêm các thành phần ẩn trong tệp. Để tránh gây nghi ngờ, cuộc tấn công sẽ đánh lạc hướng người dùng bằng một tài liệu có vẻ vô hại, chẳng hạn như tệp Microsoft Excel hoặc PDF, trong khi nó cài đặt các thành phần phần mềm độc hại nguy hiểm hơn ở chế độ nền.

Mối đe dọa thực sự đến từ DomainManager.dll, một tệp độc hại được đặt một cách chiến lược trong thư mục khởi động Windows, nơi nó đảm bảo tính bền bỉ bằng cách chạy mỗi khi hệ thống khởi động lại. Tệp này giao tiếp với máy chủ chỉ huy và điều khiển (C2) từ xa, giúp kẻ tấn công kiểm soát thiết bị bị nhiễm. Từ đó, chúng có thể theo dõi các tệp, tải lên dữ liệu nhạy cảm, tải xuống nhiều công cụ độc hại hơn và thậm chí xóa hoặc đổi tên tệp để che giấu dấu vết.

Tiêm AppDomainManager: Một kỹ thuật lén lút

Điểm khác biệt giữa cuộc tấn công này với các cuộc tấn công mạng khác là việc sử dụng khéo léo một kỹ thuật gọi là AppDomainManager injection. Mặc dù nghe có vẻ phức tạp, nhưng về cơ bản, phương pháp này cho phép kẻ tấn công chạy mã độc mỗi khi một chương trình hợp pháp khởi chạy mà không gây ra bất kỳ báo động nào. Chiến thuật này gần đây đã được một nhóm tin tặc khác liên kết với Trung Quốc sử dụng, cho thấy kỹ thuật này đang ngày càng phổ biến trong giới tội phạm mạng trên toàn thế giới.

Trò chơi dài hạn: APT37 trốn tránh sự phát hiện như thế nào

Một lý do khiến chiến dịch này không bị phát hiện trong thời gian dài như vậy là do sự kiên nhẫn của những kẻ tấn công. Sau khi triển khai thành công VeilShell, chúng không kích hoạt ngay lập tức. Thay vào đó, phần mềm độc hại nằm im cho đến khi hệ thống được khởi động lại. Việc kích hoạt chậm trễ này, kết hợp với thời gian ngủ dài (tạm dừng thực thi), khiến phần mềm độc hại khó bị phát hiện hơn bởi các công cụ bảo mật thông thường. Các kỹ thuật này giúp tin tặc tránh bị phát hiện trong thời gian dài, cho phép chúng thu thập thông tin tình báo và duy trì quyền kiểm soát đối với các hệ thống bị xâm phạm.

Những tác động và mối đe dọa trong tương lai

Phát hiện gần đây này làm tăng thêm mối lo ngại ngày càng tăng về năng lực mạng của Bắc Triều Tiên. Các nhóm như APT37, Lazarus và Kimsuky đều có liên quan đến các cuộc tấn công mạng do nhà nước tài trợ nhằm mục đích gián điệp , lợi ích tài chính và phá hoại. Với việc sử dụng ngày càng nhiều các công cụ tinh vi như VeilShell, các nhóm này gây ra mối đe dọa đáng kể đối với bối cảnh an ninh mạng toàn cầu.

Các chuyên gia cảnh báo rằng chiến dịch này có thể dễ dàng lan rộng ra ngoài Đông Nam Á, vì các nhóm tin tặc Triều Tiên có lịch sử nhắm mục tiêu vào nhiều khu vực, bao gồm Hoa Kỳ và Châu Âu. Trên thực tế, chỉ vài ngày trước khi phát hiện ra VeilShell, một nhóm khác của Triều Tiên có tên là Andariel đã phát động các cuộc tấn công vào các tổ chức Hoa Kỳ trong một chiến dịch có động cơ tài chính.

Bảo vệ chống lại VeilShell và các mối đe dọa tương tự

Đối với các tổ chức và cá nhân, điều này nhấn mạnh tầm quan trọng của việc luôn cảnh giác với các nỗ lực lừa đảo qua email và đảm bảo rằng tất cả các hệ thống đều được cập nhật thường xuyên với các bản vá bảo mật mới nhất. Sau đây là một số mẹo để giảm nguy cơ bị tấn công như vậy:

1. Hãy cảnh giác với những email lạ: Nếu bạn nhận được email có tệp đính kèm hoặc liên kết mà bạn không mong đợi, hãy suy nghĩ kỹ trước khi nhấp vào.
2. Cập nhật phần mềm thường xuyên: Việc vá lỗi hệ điều hành và ứng dụng thường xuyên có thể giúp vá các lỗ hổng bảo mật mà kẻ tấn công khai thác.

Tóm lại, phần mềm độc hại VeilShell và chiến dịch SHROUDED#SLEEP là lời nhắc nhở rõ ràng về các mối đe dọa đang không ngừng phát triển trong thế giới an ninh mạng. Bằng cách thận trọng và thực hiện các biện pháp bảo mật chủ động, cá nhân và doanh nghiệp có thể đi trước một bước so với những tác nhân nguy hiểm này.