Ким Чен Ын собирает данные с помощью скрытой кибератаки APT37 на Юго-Восточную Азию

Ким Чен Ын собирает данные с помощью скрытой кибератаки APT37 на Юго-Восточную Азию

Долгосрочная кампания обещает Ким Чен Ыну получить стратегически важные данные региона.

Эксперты Securonix Threat Research выявили кампанию, вероятно, связанную с северокорейской группой APT37. Атака получила название SHROUDED#SLEEP и нацелена на страны Юго-Восточной Азии. Ключевой особенностью атаки является использование скрытого PowerShell-бэкдора под названием VeilShell.

Основными объектами атак APT37 (Reaper, Group123) стала Камбоджа, однако география атак может охватывать и другие страны Юго-Восточной Азии. В отчете Securonix не уточняется, какие именно отрасли и компании стали жертвами атак.

Первый этап атаки начинается с открытия жертвой прикрепленного к письму ZIP-файла. Внутри архива находятся исполняемые файлы в виде ярлыков (.lnk), которые при запуске активируют серию команд PowerShell. Такие ярлыки могут содержать двойное расширение (.pdf.lnk или .xlsx.lnk), чтобы маскироваться под документы PDF или Excel. Злоумышленники также изменяют иконки ярлыков, чтобы они выглядели легитимными.

Цепочка заражения VeilShell

Зашифрованные вредоносные компоненты расположены внутри LNK-файла и извлекаются автоматически. Основная цель атаки – установка бэкдора VeilShell, который предоставляет удаленный доступ к заражённой системе (RAT), включая возможность загружать/выгружать файлы, создавать задачи и изменять параметры реестра.

Особенностью атак SHROUDED#SLEEP является длительное ожидание перед активацией отдельных этапов атаки для обхода эвристических систем обнаружения. После установки VeilShell код не выполняется сразу, а запускается только после перезагрузки системы.

Чтобы закрепиться в системе, злоумышленники используют технику AppDomainManager Hijacking, которая позволяет незаметно внедрить вредоносный код в приложения .NET. Для этого хакеры используют файл «d.exe», который выглядит как легитимный компонент Microsoft .NET Framework. EXE-файл запускает вредоносную DLL-библиотеку «DomainManager.dll», что позволяет выполнить вредоносный код ещё до начала работы настоящего приложения.

Согласно рекомендациям Securonix, для защиты от подобных атак рекомендуется избегать загрузки подозрительных файлов из ненадежных источников, особенно ZIP-архивов и PDF-документов. Также важно контролировать изменения в реестре, сетевую активность и действия в каталогах автозагрузки. Введение логирования на уровне процессов и PowerShell может помочь выявить подобные вредоносные активности на ранней стадии.