Rilevamento della Campagna Shrouded#Sleep: Hacker Nordcoreani Associati al Gruppo APT37 Usano il Nuovo Malware VeilShell Mirato al Sud-est Asiatico
Indice:
I gruppi APT affiliati alla Corea del Nord si sono costantemente classificati tra i più attivi avversari nell’ultimo decennio. Quest’anno, gli esperti di sicurezza hanno osservato un notevole aumento delle loro operazioni dannose, guidato da strumenti potenziati e da un’espansione della gamma di obiettivi. Nell’agosto 2024, gli hacker nordcoreani hanno rafforzato il loro arsenale con il trojan MoonPeak. Un mese prima, a luglio 2024, CISA, l’FBI e partner internazionali hanno emesso un avviso congiunto avvertendo delle attività di cyber-spionaggio globale del gruppo APT Andariel . Dopo questi incidenti, il APT37 collegato alla Corea del Nord ha intensificato gli attacchi nel Sud-Est asiatico, impiegando il famigerato backdoor VeilShell.
Rileva attacchi del backdoor VeilShell all’interno della campagna SHROUDED#SLEEP di APT37
Per rimanere un passo avanti rispetto a potenziali intrusioni e rilevare attacchi nelle loro fasi iniziali, i professionisti della sicurezza stanno cercando contenuti di rilevamento curati che affrontino le TTP specifiche utilizzate dagli hacker nordcoreani. I difensori del cyberspazio possono fare affidamento sulla Piattaforma SOC Prime per una difesa cibernetica collettiva, che fornisce un set personalizzato di contenuti di rilevamento supportato da una suite completa di prodotti per la caccia avanzata alla minaccia, ingegneria di rilevamento potenziata dall’IA e caccia automatizzata alla minaccia.
Premi il pulsante Esplora Rilevamenti qui sotto per approfondire immediatamente una raccolta di regole Sigma indirizzate agli attacchi SHROUDED#SLEEP di APT37. Le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK® per facilitare l’indagine sulle minacce. Inoltre, i rilevamenti sono arricchiti con metadati estensivi, inclusi CTI riferimenti, cronologie degli attacchi, raccomandazioni per il triage e l’audit, e altro ancora.
Gli esperti di cybersicurezza che cercano contenuti di rilevamento aggiuntivi per analizzare retrospettivamente le attività di APT37 e rimanere aggiornati sulle TTP utilizzate dal gruppo possono esplorare un set di regole dedicato curato dal Team SOC Prime. Basta navigare nel Threat Detection Marketplace usando il tag “APT37” o utilizzare questo link per accedere direttamente alla raccolta di regole APT37 .
Analisi della Campagna SHROUDED#SLEEP
Gli hacker nordcoreani collegati al APT37 gruppo, noto anche con i soprannomi InkySquid, Reaper, RedEyes, Ricochet Chollima, o Ruby Sleet, sono stati osservati distribuire un nuovo backdoor e RAT denominato VeilShell in una campagna che prende di mira la Cambogia e potenzialmente altri paesi del Sud-Est asiatico. Il collettivo di hacking APT37, attivo nel panorama delle minacce cibernetiche almeno dal 2012, si ritiene abbia connessioni con il Ministero della Sicurezza di Stato della Corea del Nord. Al pari di altri gruppi di hacking sponsorizzati dagli stati nordcoreani, come il Gruppo Lazarus and Kimsuky, APT37 tende ad avere obiettivi in costante evoluzione che si allineano con gli interessi statali.
La campagna in corso identificata dai ricercatori di Securonix e denominata SHROUDED#SLEEP prende di mira le vittime tramite un vettore di attacco di phishing che sfrutta email contenenti un file ZIP con un file LNK dannoso come payload iniziale. Una volta lanciato, il file LNK funziona come un dropper, avviando codice PowerShell per decodificare ed estrarre i componenti della fase successiva incorporati in esso. In particolare, APT37 maschera i suoi file di collegamento con icone PDF ed Excel, usando doppie estensioni, in modo che agli utenti risultino visibili solo le parti PDF e XLS. Il comando PowerShell eseguito dal file LNK mira a recuperare e decodificare un payload nascosto all’interno del collegamento. Lascia cadere file dannosi nella cartella di Avvio per garantire la persistenza, consentendo loro di essere eseguiti al successivo accesso. Inoltre, il payload apre un file Excel, probabilmente per invogliare le vittime a credere di visualizzare un documento legittimo mentre si verificano attività dannose in background. Questo tipo di attacco utilizza tecniche di social engineering e fileless per sfuggire al rilevamento.
Nelle fasi finali di una catena di infezione complessa, gli aggressori distribuiscono VeilShell, un malware basato su PowerShell con estese funzionalità RAT. Questo nuovo backdoor si distingue per la sua esecuzione furtiva e una gamma di capacità, tra cui l’esfiltrazione di dati, le modifiche al registro e la manipolazione dei task programmati, concedendo agli aggressori il pieno controllo sui sistemi compromessi.
La campagna SHROUDED#SLEEP impiega anche una rara tecnica avversaria nota come hijacking di AppDomainManager per assicurare la persistenza iniettando codice dannoso nelle applicazioni .NET. Questo metodo sfrutta la classe AppDomainManager .NET, consentendo agli aggressori di caricare la loro DLL dannosa all’inizio dell’esecuzione dell’applicazione.
L’operazione SHROUDED#SLEEP è una campagna sofisticata e furtiva che impiega più livelli di esecuzione, metodi di persistenza e un versatile backdoor RAT basato su PowerShell per il controllo sostenuto dei sistemi compromessi. A causa della sua maggiore sofisticazione e delle capacità avversarie di far affidamento su un mix unico di strumenti legittimi e tecniche per eludere le difese e mantenere l’accesso ai loro obiettivi, questa campagna, insieme ad attacchi simili, richiede un’ultra-responsività da parte dei difensori del cyberspazio. Sfruttando l’intera suite di prodotti di SOC Prime per l’ingegneria del rilevamento potenziata dall’IA, la caccia automatizzata alla minaccia e il rilevamento avanzato delle minacce, le organizzazioni progressiste possono agire più velocemente degli attaccanti e potenziare le loro difese su vasta scala.
