北韓駭客在東南亞各地部署新的 VeilShell 後門進行隱形攻擊
令人毛骨悚然的新消息是,北韓網路間諜組織被發現使用一種名為 VeilShell 的新後門惡意軟體在整個東南亞實施秘密網路攻擊。安全專家已將此活動與APT37聯繫起來,APT37 是一個臭名昭著的駭客組織,以多個別名運作,例如 InkySquid、Reaper、RedEyes 和 ScarCruft。 APT37 與北韓國家安全部有聯繫,自 2012 年以來一直活躍,並因其針對政府和企業部門的複雜網路活動而臭名昭著。
目錄
SHROUDED#SLEEP 活動
安全研究人員將這一最新行動稱為“SHROUDED#SLEEP”,這個名字很貼切地體現了這些網路犯罪分子所表現出的隱密性和耐心。據信該組織正在進行這項活動,特別關注柬埔寨和東南亞其他國家。透過利用遠端存取木馬 (RAT) VeilShell,攻擊者的目標是完全控制受感染的計算機,並能夠竊取資料、操縱系統註冊表和秘密安排任務。
VeilShell 如何運作?
這次攻擊的一個突出方面是 VeilShell 如何進入其目標系統。雖然尚不清楚最初的有效負載是如何傳遞的,但專家懷疑該組織使用魚叉式網路釣魚電子郵件,這是一種高度針對性的方法,誘騙個人點擊惡意連結或下載受感染的檔案。第一階段有效負載可能透過包含 Windows 捷徑 (LNK) 檔案的 ZIP 檔案傳遞。
一旦毫無戒心的用戶啟動 LNK 文件,它就會觸發一系列操作。 PowerShell 程式碼(一種 Windows 環境中常用的腳本語言)在幕後運行,提取隱藏在檔案中的更多元件。為了避免引起懷疑,攻擊會使用看似無辜的文件(例如 Microsoft Excel 或 PDF 檔案)來分散使用者的注意力,同時在背景安裝更危險的惡意軟體元件。
真正的威脅來自 DomainManager.dll,這是一個策略性地放置在 Windows 啟動資料夾中的惡意文件,它透過在每次系統重新啟動時運行來確保持久性。該文件與遠端命令和控制 (C2) 伺服器通信,使攻擊者能夠控制受感染的設備。從那裡,他們可以監視文件、上傳敏感資料、下載更多惡意工具,甚至刪除或重新命名檔案以掩蓋其踪跡。
AppDomainManager 注入:一種偷偷摸摸的技術
這種攻擊與其他網路攻擊的不同之處在於巧妙地使用了一種稱為 AppDomainManager 注入的技術。雖然聽起來可能很複雜,但該方法本質上允許攻擊者在每次啟動合法程式時運行惡意程式碼,而不會發出任何警報。另一個與中國結盟的駭客組織最近採用了這種策略,顯示這種技術在全球網路犯罪分子中越來越受歡迎。
漫長的遊戲:APT37 如何逃避偵測
此活動長期以來未被發現的原因之一是攻擊者的耐心。成功部署 VeilShell 後,他們並沒有立即啟動它。相反,惡意軟體會處於休眠狀態,直到系統重新啟動。這種延遲啟動與較長的睡眠時間(執行暫停)相結合,使得傳統安全工具更難檢測到惡意軟體。這些技術可以幫助駭客長時間避免被發現,使他們能夠收集情報並保持對受感染系統的控制。
影響和未來的威脅
最近的這項發現加劇了人們對北韓網路能力日益增長的擔憂。 APT37、 Lazarus和 Kimsuky 等組織都與國家支持的旨在間諜活動、經濟利益和破壞活動的網路攻擊有關。隨著 VeilShell 等複雜工具的使用越來越多,這些組織對全球網路安全格局構成了重大威脅。
專家警告說,這項活動很容易蔓延到東南亞以外的地區,因為北韓駭客組織有針對多個地區(包括美國和歐洲)的歷史。事實上,就在 VeilShell 發現的前幾天,另一個名為 Andariel 的北韓組織出於經濟動機發起了針對美國組織的攻擊。
防範 VeilShell 和類似威脅
對於組織和個人來說,這凸顯了對魚叉式網路釣魚嘗試保持警惕並確保所有系統定期更新最新安全修補程式的重要性。以下是降低此類攻擊風險的一些提示:
- 警惕意外電子郵件:如果您收到一封包含意外文件附件或連結的電子郵件,請在點擊之前三思而後行。
- 保持軟體最新:定期修補作業系統和應用程式可以幫助彌補攻擊者利用的安全漏洞。
總之,VeilShell 惡意軟體和 SHROUDED#SLEEP 活動鮮明地提醒人們網路安全世界中不斷變化的威脅。透過保持謹慎並採取積極主動的安全措施,個人和企業可以領先這些危險行為者一步。