Atuantes com vínculos na Coreia do Norte foram observados entregando um backdoor e um Remote Access Trojan (RAT) previamente não documentados chamados VeilShell, como parte de uma campanha visando o Camboja e provavelmente outros países do Sudeste Asiático.
A atividade, apelidada de SHROUDED#SLEEP pela Securonix, acredita-se ser obra do APT37, que também é conhecido como InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet e ScarCruft.
Ativo desde pelo menos 2012, o coletivo adversário é avaliado como parte do Ministério de Segurança do Estado (MSS) da Coreia do Norte.
Assim como outros grupos alinhados ao estado, aqueles associados à Coreia do Norte, incluindo o Lazarus Group e Kimsuky, variam em seu modus operandi e provavelmente têm objetivos em constante evolução baseados nos interesses do estado.
Uma malware chave em seu arsenal é o RokRAT (também conhecido como Goldbackdoor), embora o grupo também tenha desenvolvido ferramentas personalizadas para facilitar a coleta de inteligência oculta.
Atualmente, não se sabe como o payload inicial, um arquivo ZIP contendo um atalho do Windows (LNK), é entregue aos alvos.
No entanto, suspeita-se que provavelmente envolva o envio de e-mails de spear-phishing.
"O trojan backdoor [VeilShell] permite ao atacante acesso total à máquina comprometida," disseram os pesquisadores Den Iuzvyk e Tim Peck em um relatório técnico compartilhado com o The Hacker News.
"Algumas características incluem exfiltração de dados, criação ou manipulação de registros e tarefas agendadas." O arquivo LNK, uma vez iniciado, atua como um dropper, pois desencadeia a execução de código PowerShell para decodificar e extrair os componentes da próxima etapa embutidos nele.
Isso inclui um documento de isca inócuo, um documento do Microsoft Excel ou um PDF, que é automaticamente aberto, distraindo o usuário enquanto um arquivo de configuração ("d.exe.config") e um arquivo DLL malicioso ("DomainManager.dll") são escritos em segundo plano na pasta de inicialização do Windows.
Também copiado para a mesma pasta está um executável legítimo chamado "dfsvc.exe", associado à tecnologia ClickOnce no Microsoft .NET Framework.
O arquivo é copiado como "d.exe." O que faz a cadeia de ataque se destacar é o uso de uma técnica menos conhecida chamada injeção AppDomainManager para executar DomainManager.dll quando "d.exe" é iniciado na inicialização e o binário lê o arquivo "d.exe.config" acompanhante localizado na mesma pasta de inicialização.
Vale notar que essa abordagem foi recentemente também utilizada pelo ator alinhado à China, Earth Baxia, indicando que está lentamente ganhando tração entre os atores de ameaças como uma alternativa ao side-loading de DLL.
O arquivo DLL, por sua vez, comporta-se como um simples carregador para recuperar código JavaScript de um servidor remoto, que, por sua vez, contata um servidor diferente para obter o backdoor VeilShell.
VeilShell é um malware baseado em PowerShell projetado para contatar um servidor de comando e controle (C2) para aguardar instruções adicionais que permitam reunir informações sobre arquivos, comprimir uma pasta específica em um arquivo ZIP e carregá-lo de volta para o servidor C2, baixar arquivos de uma URL especificada, renomear e excluir arquivos e extrair arquivos ZIP.
"No geral, os atores de ameaças foram bastante pacientes e metódicos," observaram os pesquisadores.
Cada estágio do ataque apresenta tempos de espera muito longos em um esforço para evitar detecções heurísticas tradicionais.
Uma vez implantado o VeilShell, ele não executa até o próximo reinício do sistema. A campanha SHROUDED#SLEEP representa uma operação sofisticada e furtiva visando o Sudeste Asiático, aproveitando múltiplas camadas de execução, mecanismos de persistência e um backdoor RAT baseado em PowerShell versátil para alcançar controle de longo prazo sobre sistemas comprometidos.
O relatório da Securonix vem um dia depois da Symantec, pertencente à Broadcom, revelar que o ator de ameaça norte-coreano rastreado como Andariel visou três organizações diferentes nos EUA em agosto de 2024 como parte de uma campanha motivada financeiramente.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...