Détection de la campagne Shrouded#Sleep : des hackers nord-coréens liés au groupe APT37 utilisent un nouveau malware VeilShell ciblant l’Asie du Sud-Est
Table des matières :
Les groupes APT affiliés à la Corée du Nord se classent de manière constante parmi les adversaires les plus actifs de la dernière décennie. Cette année, les experts en sécurité ont observé une nette augmentation de leurs opérations malveillantes, alimentée par des ensembles d’outils améliorés et une gamme étendue de cibles. En août 2024, les pirates nord-coréens ont renforcé leur arsenal avec le cheval de Troie MoonPeak. Un mois plus tôt, en juillet 2024, la CISA, le FBI et des partenaires internationaux ont émis une alerte conjointe mettant en garde contre l’ activité mondiale de cyber-espionnage par le groupe Andariel APT . Suite à ces incidents, l’ APT37 lié à la Corée du Nord a intensifié les attaques en Asie du Sud-Est, déployant le célèbre backdoor VeilShell.
Détecter les attaques du backdoor VeilShell dans la campagne SHROUDED#SLEEP par APT37
Pour prendre de l’avance sur les intrusions potentielles et détecter les attaques à un stade précoce, les professionnels de la sécurité recherchent des contenus de détection organisés qui traitent des TTP spécifiques utilisés par les pirates nord-coréens. Les cyberdéfenseurs peuvent compter sur la plateforme SOC Prime pour la défense cyber collective, qui propose un ensemble sur mesure de contenus de détection soutenus par une suite complète de produits pour la chasse avancée aux menaces, l’ingénierie de détection alimentée par l’IA, et la chasse automatisée aux menaces.
Appuyez sur le bouton Explorer les Détections ci-dessous pour tout de suite approfondir une collection de règles Sigma traitant des attaques SHROUDED#SLEEP par APT37. Les règles sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et mappées au framework MITRE ATT&CK® pour faciliter l’enquête sur les menaces. De plus, les détections sont enrichies avec de nombreux métadonnées, y compris des CTI références, chronologies d’attaques, recommandations de triage et d’audit, et plus.
Les experts en cybersécurité recherchant des contenus de détection supplémentaires pour analyser rétrospectivement les activités de l’APT37 et rester au fait des TTP utilisés par le groupe peuvent explorer un ensemble de règles dédiées organisé par l’équipe SOC Prime. Parcourez simplement le Marché de Détection des Menaces en utilisant le tag “APT37” ou utilisez ce lien pour accéder directement à la collection de règles APT37 .
Analyse de la campagne SHROUDED#SLEEP
Les pirates nord-coréens liés au APT37 groupe, également connu sous les pseudonymes InkySquid, Reaper, RedEyes, Ricochet Chollima, ou Ruby Sleet, ont été observés en train de déployer un nouveau backdoor et RAT nommé VeilShell dans une campagne ciblant le Cambodge et potentiellement d’autres pays d’Asie du Sud-Est. Le collectif de hackers APT37, qui est actif dans l’arène des cybermenaces depuis au moins 2012, est soupçonné d’avoir des liens avec le ministère de la Sécurité d’État de la Corée du Nord. Comme d’autres groupes de hackers soutenus par l’État nord-coréen, tels que le Groupe Lazarus and Kimsuky, l’APT37 a tendance à avoir des objectifs en constante évolution qui s’alignent sur les intérêts de l’État.
La campagne en cours identifiée par les chercheurs de Securonix et nommée SHROUDED#SLEEP cible les victimes via un vecteur d’attaque de phishing utilisant des e-mails contenant un fichier ZIP avec un fichier LNK malveillant comme charge utile initiale. Une fois lancé, le fichier LNK fonctionne comme un dropper, initiant l’exécution de code PowerShell pour décoder et extraire les composants de la prochaine étape incrustés en son sein. Notamment, l’APT37 déguise ses fichiers de raccourci avec des icônes PDF et Excel, utilisant des doubles extensions, de sorte que seules les portions PDF et XLS sont visibles pour les utilisateurs. La commande PowerShell exécutée depuis le fichier LNK vise à récupérer et décoder une charge utile dissimulée dans le raccourci. Elle dépose des fichiers malveillants dans le dossier de démarrage pour assurer la persistance, leur permettant de s’exécuter lors de la prochaine connexion. De plus, la charge utile ouvre un fichier Excel, probablement pour inciter les victimes à croire qu’elles visualisent un document légitime tandis que des activités malveillantes se déroulent à l’arrière-plan. Ce type d’attaque utilise des techniques d’ingénierie sociale et de type fileless pour échapper à la détection.
Aux stades finaux d’une chaîne d’infection complexe, les attaquants déploient VeilShell, un malware basé sur PowerShell avec de nombreuses fonctionnalités RAT. Ce nouveau backdoor est notable pour son exécution furtive et ses capacités étendues, y compris l’exfiltration de données, les modifications du registre, et la manipulation des tâches planifiées, accordant un contrôle total aux attaquants sur les systèmes compromis.
La campagne SHROUDED#SLEEP emploie également une technique d’adversaire rare connue sous le nom de détournement d’AppDomainManager pour assurer la persistance en injectant du code malveillant dans les applications .NET. Cette méthode exploite la classe .NET AppDomainManager, permettant aux attaquants de charger leur DLL malveillant au début de l’exécution de l’application.
L’opération SHROUDED#SLEEP est une campagne sophistiquée et furtive qui utilise de multiples couches d’exécution, des méthodes de persistance, et un backdoor RAT basé sur PowerShell polyvalent pour un contrôle soutenu des systèmes compromis. En raison de sa sophistication accrue et des capacités de l’adversaire à s’appuyer sur un mélange unique d’outils et de techniques légitimes pour échapper aux défenses et maintenir l’accès à leurs cibles, cette campagne, ainsi que des attaques similaires, requiert une ultra-réactivité de la part des cyberdéfenseurs. En tirant parti de la suite complète de produits SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces, et la détection avancée des menaces, les organisations progressistes peuvent agir plus rapidement que les attaquants et renforcer leur défense à grande échelle.
