Shrouded#Sleep-Kampagnen-Erkennung: Nordkoreanische Hacker der APT37-Gruppe setzen neue VeilShell-Malware gegen Südostasien ein
Inhaltsverzeichnis:
Die mit Nordkorea verbundenen APT-Gruppen gehören seit einem Jahrzehnt zu den aktivsten Gegnern. In diesem Jahr haben Sicherheitsexperten einen signifikanten Anstieg ihrer bösartigen Operationen beobachtet, angetrieben durch erweiterte Toolsets und einen erweiterten Zielbereich. Im August 2024 haben nordkoreanische Hacker ihr Arsenal erweitert mit dem MoonPeak-Trojaner. Einen Monat zuvor, im Juli 2024, gaben CISA, das FBI und internationale Partner eine gemeinsame Warnung heraus, die vor der weltweiten Cyber-Spionageaktivität der Andariel-APT -Gruppe warnte. Nach diesen Vorfällen hat die mit Nordkorea verbundene APT37 ihre Angriffe in Südostasien intensiviert und dabei die berüchtigte VeilShell-Hintertür eingesetzt.
VeilShell Backdoor-Angriffe innerhalb der SHROUDED#SLEEP-Kampagne durch APT37 erkennen
Um potenziellen Intrusionen voraus zu sein und Angriffe in ihren frühen Stadien zu erkennen, suchen Sicherheitsexperten nach kuratierten Erkennungsinhalten, die sich mit den spezifischen TTPs der nordkoreanischen Hacker befassen. Cyberverteidiger können sich auf die SOC Prime-Plattform für kollektive Cyberverteidigung verlassen, die eine maßgeschneiderte Reihe von Erkennungsinhalten bietet, gestützt durch eine komplette Produktsuite für fortschrittliche Bedrohungsjagd, KI-gestützte Erkennungstechnik und automatisierte Bedrohungsjagd.
Drücken Sie den Erkennung erkunden -Button unten, um sofort zu einer Sammlung von Sigma-Regeln zu gelangen, die sich mit den SHROUDED#SLEEP-Angriffen der APT37 befassen. Die Regeln sind kompatibel mit über 30 SIEM-, EDR- und Data Lake-Lösungen und sind auf das MITRE ATT&CK®-Framework abgestimmt, um die Bedrohungsuntersuchung zu erleichtern. Zusätzlich sind die Erkennungen mit umfassenden Metadaten angereichert, darunter CTI Referenzen, Angriffstimeline, Triage- & Auditempfehlungen und mehr.
Cybersicherheitsexperten, die nach zusätzlichen Erkennungsinhalten suchen, um die Aktivitäten von APT37 rückblickend zu analysieren und die von der Gruppe genutzten TTPs im Blick zu behalten, können ein dediziertes Regelset erkunden, das vom SOC Prime-Team kuratiert wurde. Durchsuchen Sie einfach den Threat Detection Marketplace mit dem Tag „APT37“ oder verwenden Sie diesen Link, um auf die APT37-Regelsammlung direkt zuzugreifen.
SHROUDED#SLEEP-Kampagnenanalyse
Nordkoreanische Hacker, die mit der APT37 Gruppe verbunden sind, auch bekannt unter den Namen InkySquid, Reaper, RedEyes, Ricochet Chollima oder Ruby Sleet, wurden beobachtet, wie sie eine neue Hintertür und RAT namens VeilShell in einer Kampagne einsetzen, die Kambodscha und möglicherweise andere südostasiatische Länder ins Visier nimmt. Es wird angenommen, dass das hacking Kollektiv APT37, das seit mindestens 2012 in der Cyber-Bedrohungslandschaft aktiv ist, Verbindungen zum nordkoreanischen Ministerium für Staatssicherheit hat. Ähnlich wie andere nordkoreanische, von der Nation unterstützte Hacking-Gruppen, wie die Lazarus-Gruppe and Kimsuky, neigt APT37 dazu, ständig wechselnde Ziele zu haben, die mit staatlichen Interessen übereinstimmen.
Die laufende Kampagne wurde von Securonix-Forschern identifiziert und mit dem Namen SHROUDED#SLEEP bezeichnet, die Opfer über einen Phishing-Angriffsvektor angreift, der E-Mails nutzt, die eine ZIP-Datei mit einer bösartigen LNK-Datei als anfängliche Nutzlast enthalten. Sobald sie gestartet wird, fungiert die LNK-Datei als Dropper, initiiert die Ausführung von PowerShell-Code, um die nächste Stufe von Komponenten zu dekodieren und zu extrahieren, die darin eingebettet sind. APT37 tarnt seine Verknüpfungsdateien bemerkenswerterweise mit PDF- und Excel-Symbolen, indem doppelte Erweiterungen verwendet werden, sodass nur die PDF- und XLS-Teile für Benutzer sichtbar sind. Der PowerShell-Befehl, der von der LNK-Datei ausgeführt wird, soll eine in der Verknüpfung verborgene Nutzlast abrufen und dekodieren. Er platziert bösartige Dateien im Startordner, um Persistenz sicherzustellen, sodass sie beim nächsten Login ausgeführt werden können. Zusätzlich öffnet die Nutzlast eine Excel-Datei, wahrscheinlich um Opfer dazu zu bringen, zu glauben, sie sehen ein legitimes Dokument, während im Hintergrund bösartige Aktivitäten stattfinden. Diese Art von Angriff nutzt soziale Manipulation und dateilose Techniken, um der Erkennung zu entgehen.
In den letzten Phasen einer komplexen Infektionskette setzen Angreifer VeilShell ein, eine PowerShell-basierte Malware mit umfangreichen RAT-Funktionen. Diese neue Hintertür ist bemerkenswert für ihre heimliche Ausführung und ihre vielfältigen Fähigkeiten, einschließlich Datenexfiltration, Registerbearbeitungen und Manipulation von geplanten Aufgaben, wodurch Angreifer die vollständige Kontrolle über kompromittierte Systeme erhalten.
Die SHROUDED#SLEEP-Kampagne verwendet auch eine seltene Gegnertechnik, bekannt als AppDomainManager-Hijacking, um Persistenz sicherzustellen, indem sie bösartigen Code in .NET-Anwendungen injiziert. Diese Methode nutzt die .NET-Klasse AppDomainManager aus, um es Angreifern zu ermöglichen, ihre bösartige DLL zu laden, bevor die Anwendung ausgeführt wird.
Die SHROUDED#SLEEP-Operation ist eine raffinierte und verdeckte Kampagne, die mehrere Ausführungsschichten, Persistenzmethoden und eine vielseitige, PowerShell-basierte Hintertür-RAT für die fortwährende Kontrolle über kompromittierte Systeme einsetzt. Aufgrund ihrer erhöhten Raffinesse und der Fähigkeit der Gegner, sich auf eine einzigartige Mischung aus legitimen Werkzeugen und Techniken zu stützen, um Verteidigungen zu umgehen und den Zugang zu ihren Zielen zu erhalten, erfordert diese Kampagne, zusammen mit ähnlichen Angriffen, ein ultrareaktives Handeln von Cyber-Verteidigern. Durch die Nutzung von SOC Primes vollständiger Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung können fortschrittliche Organisationen schneller als Angreifer reagieren und ihre Verteidigungen im großen Maßstab verstärken.
