Detección de la Campaña Shrouded#Sleep: Hackers Norcoreanos Vinculados al Grupo APT37 Usan Nuevo Malware VeilShell Dirigido al Sudeste Asiático
Tabla de contenidos:
Los grupos APT afiliados a Corea del Norte han estado consistentemente entre los adversarios más activos en la última década. Este año, los expertos en seguridad han observado un aumento significativo en sus operaciones maliciosas, impulsado por conjuntos de herramientas mejorados y un rango expandido de objetivos. En agosto de 2024, los hackers norcoreanos reforzaron su arsenal con el MoonPeak Trojan. Un mes antes, en julio de 2024, CISA, el FBI y socios internacionales emitieron una alerta conjunta advirtiendo sobre la actividad global de ciberespionaje del APT Andariel grupo. Tras estos incidentes, el grupo vinculado a Corea del Norte APT37 ha intensificado los ataques en el sudeste asiático, desplegando la notoria puerta trasera VeilShell.
Detectar Ataques de la Puerta Trasera VeilShell Dentro de la Campaña SHROUDED#SLEEP por APT37
Para adelantarse a posibles intrusiones y detectar ataques en sus etapas iniciales, los profesionales de seguridad buscan contenido de detección curado que aborde los TTP específicos utilizados por los hackers norcoreanos. Los defensores cibernéticos pueden confiar en la plataforma SOC Prime para la defensa cibernética colectiva, que proporciona un conjunto personalizado de contenido de detección respaldado por un completo conjunto de productos para búsqueda avanzada de amenazas, ingeniería de detección impulsada por IA y caza de amenazas automatizada.
Presiona el botón Explorar Detecciones a continuación para profundizar inmediatamente en una colección de reglas Sigma que abordan los ataques SHROUDED#SLEEP por APT37. Las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® para facilitar la investigación de amenazas. Además, las detecciones están enriquecidas con metadatos extensivos, incluidos CTI referencias, cronogramas de ataques, recomendaciones de triaje y auditoría, y más.
Los expertos en ciberseguridad que buscan contenido de detección adicional para analizar las actividades de APT37 retrospectivamente y estar al tanto de los TTP utilizados por el grupo pueden explorar un conjunto de reglas dedicadas curadas por el equipo de SOC Prime. Simplemente navega por el Mercado de Detección de Amenazas usando la etiqueta “APT37” o usa este enlace para acceder directamente a la colección de reglas APT37 .
Análisis de la Campaña SHROUDED#SLEEP
Hackers norcoreanos vinculados al APT37 grupo, también conocido bajo los apodos InkySquid, Reaper, RedEyes, Ricochet Chollima, o Ruby Sleet, han sido observados desplegando una nueva puerta trasera y RAT denominada VeilShell en una campaña dirigida a Camboya y potencialmente a otros países del sudeste asiático. Se cree que el colectivo de hackers APT37, que ha estado activo en el ámbito de la amenaza cibernética desde al menos 2012, tiene conexiones con el Ministerio de Seguridad del Estado de Corea del Norte. Similar a otros grupos de hackers respaldados por naciones norcoreanas, como el Lazarus Group and Kimsuky, APT37 tiende a tener objetivos constantemente evolucionantes que se alinean con los intereses del estado.
La campaña en curso identificada por investigadores de Securonix y denominada SHROUDED#SLEEP apunta a las víctimas a través de un vector de ataque de phishing que aprovecha correos electrónicos que contienen un archivo ZIP con un archivo LNK malicioso como carga inicial. Una vez lanzado, el archivo LNK funciona como un descargador, iniciando la ejecución de código PowerShell para decodificar y extraer los componentes de la siguiente etapa incrustados dentro de él. Notablemente, APT37 disfraza sus archivos de atajo con iconos de PDF y Excel, usando extensiones dobles, para que solo las partes PDF y XLS sean visibles para los usuarios. El comando de PowerShell ejecutado desde el archivo LNK apunta a recuperar y decodificar una carga oculta dentro del atajo. Deja caer archivos maliciosos en la carpeta de Inicio para asegurar la persistencia, permitiéndoles ejecutarse en el próximo inicio de sesión. Además, la carga abre un archivo de Excel, probablemente para atraer a las víctimas a creer que ven un documento legítimo mientras ocurren actividades maliciosas en segundo plano. Este tipo de ataque utiliza técnicas de ingeniería social y sin archivos para evadir la detección.
En las etapas finales de una compleja cadena de infección, los atacantes despliegan VeilShell, malware basado en PowerShell con amplias características de RAT. Esta nueva puerta trasera es notable por su ejecución sigilosa y capacidades de amplio alcance, incluyendo exfiltración de datos, ediciones de registro y manipulación de tareas programadas, otorgando a los atacantes control total sobre los sistemas comprometidos.
La campaña SHROUDED#SLEEP también emplea una técnica rara de adversarios conocida como secuestro de AppDomainManager para asegurar la persistencia inyectando código malicioso en aplicaciones .NET. Este método aprovecha la clase .NET AppDomainManager, permitiendo a los atacantes cargar su DLL malicioso al inicio de la ejecución de la aplicación.
La operación SHROUDED#SLEEP es una campaña sofisticada y sigilosa que emplea múltiples capas de ejecución, métodos de persistencia y una versátil puerta trasera RAT basada en PowerShell para el control sostenido de sistemas comprometidos. Debido a su creciente sofisticación y capacidades del adversario para confiar en una mezcla única de herramientas y técnicas legítimas para evadir las defensas y mantener el acceso a sus objetivos, esta campaña, junto con ataques similares, requiere una ultra-responsividad de los defensores cibernéticos. Al aprovechar el conjunto completo de productos de SOC Prime para ingeniería de detección impulsada por IA, búsqueda automatizada de amenazas y detección avanzada de amenazas, las organizaciones progresivas pueden actuar más rápido que los atacantes y elevar sus defensas a escala.
