Atuantes com vínculos na Coreia do Norte foram observados entregando um backdoor e um Remote Access Trojan (RAT) previamente não documentados chamados VeilShell, como parte de uma campanha visando o Camboja e provavelmente outros países do Sudeste Asiático.
A atividade, apelidada de SHROUDED#SLEEP pela Securonix, acredita-se ser obra do APT37, que também é conhecido como InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet e ScarCruft.
Ativo desde pelo menos 2012, o coletivo adversário é avaliado como parte do Ministério de Segurança do Estado (MSS) da Coreia do Norte.
Assim como outros grupos alinhados ao estado, aqueles associados à Coreia do Norte, incluindo o Lazarus Group e Kimsuky, variam em seu modus operandi e provavelmente têm objetivos em constante evolução baseados nos interesses do estado.
Uma malware chave em seu arsenal é o RokRAT (também conhecido como Goldbackdoor), embora o grupo também tenha desenvolvido ferramentas personalizadas para facilitar a coleta de inteligência oculta.
Atualmente, não se sabe como o payload inicial, um arquivo ZIP contendo um atalho do Windows (LNK), é entregue aos alvos.
No entanto, suspeita-se que provavelmente envolva o envio de e-mails de spear-phishing.
"O trojan backdoor [VeilShell] permite ao atacante acesso total à máquina comprometida," disseram os pesquisadores Den Iuzvyk e Tim Peck em um relatório técnico compartilhado com o The Hacker News.
"Algumas características incluem exfiltração de dados, criação ou manipulação de registros e tarefas agendadas." O arquivo LNK, uma vez iniciado, atua como um dropper, pois desencadeia a execução de código PowerShell para decodificar e extrair os componentes da próxima etapa embutidos nele.
Isso inclui um documento de isca inócuo, um documento do Microsoft Excel ou um PDF, que é automaticamente aberto, distraindo o usuário enquanto um arquivo de configuração ("d.exe.config") e um arquivo DLL malicioso ("DomainManager.dll") são escritos em segundo plano na pasta de inicialização do Windows.
Também copiado para a mesma pasta está um executável legítimo chamado "dfsvc.exe", associado à tecnologia ClickOnce no Microsoft .NET Framework.
O arquivo é copiado como "d.exe." O que faz a cadeia de ataque se destacar é o uso de uma técnica menos conhecida chamada injeção AppDomainManager para executar DomainManager.dll quando "d.exe" é iniciado na inicialização e o binário lê o arquivo "d.exe.config" acompanhante localizado na mesma pasta de inicialização.
Vale notar que essa abordagem foi recentemente também utilizada pelo ator alinhado à China, Earth Baxia, indicando que está lentamente ganhando tração entre os atores de ameaças como uma alternativa ao side-loading de DLL.
O arquivo DLL, por sua vez, comporta-se como um simples carregador para recuperar código JavaScript de um servidor remoto, que, por sua vez, contata um servidor diferente para obter o backdoor VeilShell.
VeilShell é um malware baseado em PowerShell projetado para contatar um servidor de comando e controle (C2) para aguardar instruções adicionais que permitam reunir informações sobre arquivos, comprimir uma pasta específica em um arquivo ZIP e carregá-lo de volta para o servidor C2, baixar arquivos de uma URL especificada, renomear e excluir arquivos e extrair arquivos ZIP.
"No geral, os atores de ameaças foram bastante pacientes e metódicos," observaram os pesquisadores.
Cada estágio do ataque apresenta tempos de espera muito longos em um esforço para evitar detecções heurísticas tradicionais.
Uma vez implantado o VeilShell, ele não executa até o próximo reinício do sistema. A campanha SHROUDED#SLEEP representa uma operação sofisticada e furtiva visando o Sudeste Asiático, aproveitando múltiplas camadas de execução, mecanismos de persistência e um backdoor RAT baseado em PowerShell versátil para alcançar controle de longo prazo sobre sistemas comprometidos.
O relatório da Securonix vem um dia depois da Symantec, pertencente à Broadcom, revelar que o ator de ameaça norte-coreano rastreado como Andariel visou três organizações diferentes nos EUA em agosto de 2024 como parte de uma campanha motivada financeiramente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...