朝鲜黑客在东南亚地区部署新型 VeilShell 后门进行秘密攻击

令人不寒而栗的新发现表明，朝鲜网络间谍组织被发现使用一种名为 VeilShell 的新后门恶意软件在东南亚各地实施秘密网络攻击。安全专家认为，这一活动与APT37有关，这是一个臭名昭著的黑客组织，以 InkySquid、Reaper、RedEyes 和 ScarCruft 等多个别名运作。APT37 与朝鲜国家安全部有联系，自 2012 年以来一直活跃，因其针对政府和企业部门的复杂网络活动而臭名昭著。

SHROUDED#SLEEP 活动

安全研究人员将这次最新的行动命名为“SHROUDED#SLEEP”，这个名字恰如其分地体现了这些网络犯罪分子所展现出的隐秘性和耐心。据信，该组织正在开展这次行动，重点关注柬埔寨和东南亚其他国家。通过利用远程访问木马 (RAT) VeilShell，攻击者旨在完全控制受感染的机器，并能够窃取数据、操纵系统注册表和秘密安排任务。

VeilShell 如何工作？

此次攻击的突出特点之一是 VeilShell 如何进入目标系统。虽然尚不清楚初始负载是如何传递的，但专家怀疑该组织使用鱼叉式网络钓鱼电子邮件——一种高度针对性的方法，诱骗个人点击恶意链接或下载受感染的文件。第一阶段负载可能是通过包含 Windows 快捷方式 (LNK) 文件的 ZIP 存档传递的。

一旦毫无戒心的用户启动 LNK 文件，就会触发一系列操作。PowerShell 代码（一种常用于 Windows 环境中的脚本语言）会在后台运行，提取文件中隐藏的更多组件。为了避免引起怀疑，攻击会使用看似无害的文档（例如 Microsoft Excel 或 PDF 文件）来分散用户的注意力，同时在后台安装更危险的恶意软件组件。

真正的威胁来自 DomainManager.dll，这是一个恶意文件，被策略性地放置在 Windows 启动文件夹中，每次系统重新启动时都会运行，以确保持久性。此文件与远程命令和控制 (C2) 服务器通信，使攻击者能够控制受感染的设备。从那里，他们可以监视文件、上传敏感数据、下载更多恶意工具，甚至删除或重命名文件以掩盖他们的踪迹。

AppDomainManager 注入：一种狡猾的技术

这次攻击与其他网络攻击的不同之处在于巧妙地使用了一种名为 AppDomainManager 注入的技术。虽然听起来很复杂，但这种方法实际上允许攻击者在每次合法程序启动时运行恶意代码，而不会发出任何警报。这种策略最近被另一个与中国结盟的黑客组织采用，表明这种技术在全球网络犯罪分子中越来越受欢迎。

持久战：APT37 如何逃避检测

此次活动之所以这么久未被发现，一个原因就是攻击者的耐心。成功部署 VeilShell 后，他们不会立即激活它。相反，恶意软件会一直处于休眠状态，直到系统重新启动。这种延迟激活，加上较长的休眠时间（执行暂停），使得恶意软件更难被传统安全工具检测到。这些技术帮助黑客长时间避免被发现，使他们能够收集情报并保持对受感染系统的控制。

影响和未来威胁

这一最新发现加剧了人们对朝鲜网络能力的担忧。APT37、 Lazarus和 Kimsuky 等组织都与国家支持的网络攻击有关，这些攻击旨在进行间谍活动、获取经济利益和破坏。随着 VeilShell 等复杂工具的使用越来越多，这些组织对全球网络安全格局构成了重大威胁。

专家警告称，此次攻击活动可能很容易蔓延至东南亚以外地区，因为朝鲜黑客组织曾多次针对多个地区发动攻击，包括美国和欧洲。事实上，就在 VeilShell 被发现前几天，另一个名为 Andariel 的朝鲜组织出于经济动机对美国组织发动了攻击。

防范 VeilShell 及类似威胁

对于组织和个人来说，这凸显了保持警惕防范鱼叉式网络钓鱼攻击并确保所有系统定期更新最新安全补丁的重要性。以下是一些降低此类攻击风险的提示：

1. 警惕意外的电子邮件：如果您收到一封包含意外的文件附件或链接的电子邮件，请三思而后再点击它。
2. 保持软件更新：定期修补操作系统和应用程序可以帮助弥补攻击者利用的安全漏洞。

总之，VeilShell 恶意软件和 SHROUDED#SLEEP 活动清楚地提醒我们，网络安全领域的威胁不断演变。通过保持谨慎并采取主动的安全措施，个人和企业可以领先这些危险行为者一步。