Rabattoffert för flera licenser
Datorsäkerhet Nordkoreanska hackare distribuerar ny VeilShell-bakdörr i...

Nordkoreanska hackare distribuerar ny VeilShell-bakdörr i smygande attacker över hela Sydostasien

Med Mura år Datorsäkerhet
Översätt till:
Svenska

I en ryslig ny uppenbarelse har nordkoreanska cyberspionagegrupper upptäckts använda en ny bakdörr skadlig kod som heter VeilShell för att utföra smygande cyberattacker över hela Sydostasien. Säkerhetsexperter har kopplat denna aktivitet till APT37 , en ökända hackergrupp som verkar under flera alias, som InkySquid, Reaper, RedEyes och ScarCruft. Med kopplingar till Nordkoreas ministerium för statlig säkerhet har APT37 varit aktiv sedan 2012 och är ökänt för sina sofistikerade cyberkampanjer som riktar sig till statliga och företagssektorer.

SHROUDED#SLEEP-kampanjen

Säkerhetsforskare har kallat denna senaste operation SHROUDED#SLEEP, ett passande namn för smygandet och det tålamod som dessa cyberbrottslingar visar. Gruppen tros genomföra denna kampanj med ett specifikt fokus på Kambodja och andra länder i Sydostasien. Genom att utnyttja VeilShell, en fjärråtkomsttrojan (RAT) siktar angriparna på att få full kontroll över komprometterade maskiner, med möjligheten att exfiltrera data, manipulera systemregister och schemalägga uppgifter i hemlighet.

Hur fungerar VeilShell?

En av de framstående aspekterna av denna attack är hur VeilShell kommer in i sina målsystem. Även om det fortfarande är oklart hur den initiala nyttolasten levereras, misstänker experter att gruppen använder e-post med spjutfiske – en mycket riktad metod för att lura individer att klicka på skadliga länkar eller ladda ner infekterade filer. Nyttolasten i första steget levereras sannolikt via ett ZIP-arkiv som innehåller en Windows-genvägsfil (LNK).

När den intet ont anande användaren startar LNK-filen utlöser den en sekvens av åtgärder. En PowerShell-kod – ett skriptspråk som vanligtvis används i Windows-miljöer – körs bakom kulisserna och extraherar ytterligare komponenter som är gömda i filen. För att undvika att väcka misstankar distraherar attacken användaren med ett oskyldigt utseende dokument, till exempel en Microsoft Excel- eller PDF-fil, medan den installerar de farligare skadliga komponenterna i bakgrunden.

Det verkliga hotet kommer från DomainManager.dll, en skadlig fil strategiskt placerad i Windows startmapp, där den säkerställer uthållighet genom att köras varje gång systemet startas om. Den här filen kommunicerar med en fjärrkommando-och-kontroll-server (C2), vilket ger angriparna kontroll över den infekterade enheten. Därifrån kan de spionera på filer, ladda upp känslig data, ladda ner fler skadliga verktyg och till och med ta bort eller byta namn på filer för att täcka deras spår.

AppDomainManager Injection: A Sneaky Technique

Det som skiljer denna attack från andra cyberattacker är den smarta användningen av en teknik som kallas AppDomainManager-injektion. Även om det kan låta komplicerat, tillåter metoden i huvudsak angripare att köra skadlig kod varje gång ett legitimt program startar, utan att utlösa några larm. Denna taktik användes nyligen av en annan hackergrupp i linje med Kina, vilket tyder på att denna teknik vinner popularitet bland cyberkriminella över hela världen.

The Long Game: How APT37 Evades Detection

En anledning till att denna kampanj har gått oupptäckt så länge är angriparnas tålamod. Efter att ha lyckats distribuera VeilShell, aktiverar de det inte direkt. Istället ligger skadlig programvara vilande tills systemet startas om. Denna fördröjda aktivering, i kombination med långa vilotider (pauser i körning), gör det svårare att upptäcka skadlig programvara med traditionella säkerhetsverktyg. Dessa tekniker hjälper hackarna att undvika upptäckt under långa perioder, vilket gör att de kan samla in intelligens och behålla kontrollen över de komprometterade systemen.

Konsekvenser och framtida hot

Denna senaste upptäckt bidrar till den växande oron över Nordkoreas cyberkapacitet. Grupper som APT37, Lazarus och Kimsuky har alla kopplats till statligt sponsrade cyberattacker som syftar till spionage , ekonomisk vinning och sabotage. Med den ökande användningen av sofistikerade verktyg som VeilShell, utgör dessa grupper ett betydande hot mot det globala cybersäkerhetslandskapet.

Experter varnar för att denna kampanj lätt kan spridas utanför Sydostasien, eftersom nordkoreanska hackningsgrupper har en historia av att rikta sig mot flera regioner, inklusive USA och Europa. Faktum är att bara några dagar före upptäckten av VeilShell inledde en annan nordkoreansk grupp känd som Andariel attacker mot amerikanska organisationer i en ekonomiskt motiverad kampanj.

Skyddar mot VeilShell och liknande hot

För organisationer och individer understryker detta vikten av att vara vaksam mot spjutfiskeförsök och se till att alla system uppdateras regelbundet med de senaste säkerhetskorrigeringarna. Här är några tips för att minska risken för sådana attacker:

  1. Var försiktig med oväntade e-postmeddelanden: Om du får ett e-postmeddelande med en filbilaga eller länk som du inte förväntade dig, tänk efter två gånger innan du klickar på den.
  2. Håll programvaran uppdaterad: Regelbunden patchning av operativsystem och applikationer kan hjälpa till att täppa till säkerhetsluckor som angripare utnyttjar.
  • Använd antivirusprogram: Även om det inte är idiotsäkert, kan ett bra antivirusprogram upptäcka och blockera många vanliga hot.
  • Aktivera tvåfaktorsautentisering (2FA): Att lägga till ett extra lager av säkerhet gör det svårare för angripare att få åtkomst, även om de stjäl ditt lösenord.

    • Sammanfattningsvis är VeilShell skadlig programvara och kampanjen SHROUDED#SLEEP skarpa påminnelser om de ständigt föränderliga hoten i cybersäkerhetsvärlden. Genom att vara försiktig och vidta proaktiva säkerhetsåtgärder kan individer och företag ligga steget före dessa farliga aktörer.

    Läser in...