Shrouded#Sleep Campaign Detection: North Korean Hackers Linked to the APT37 Group Use New VeilShell Malware Targeting Southeast Asia

北朝鮮に関連するAPTグループは、過去10年間で最も活動的な対抗勢力の中で一貫して上位に位置しています。今年、セキュリティ専門家は、彼らの悪質な活動が大幅に増加していることに注目し、ツールセットの強化とターゲット範囲の拡大がその要因です。2024年8月には、北朝鮮のハッカーは MoonPeakトロイの木馬で武装を強化しました。1か月前の2024年7月には、CISA、FBI、国際的なパートナーが、 Andariel APTグループによる世界的なサイバー諜報活動 の警告を共同で発しました。これらの事件に続いて、北朝鮮に関連する APT37 は東南アジアで攻撃を強化し、悪名高いVeilShellバックドアを展開しています。

APT37によるSHROUDED#SLEEPキャンペーン内のVeilShellバックドア攻撃を検出する

潜在的な侵入を回避し、攻撃を初期段階で検出するために、セキュリティ専門家は、北朝鮮のハッカーが使用する特定のTTPに対応するキュレーションされた検出コンテンツを求めています。サイバー防御者は、集団サイバー防御のためにSOC Primeプラットフォームを頼りにでき、これは高度な脅威ハンティング、AI駆動の検出エンジニアリング、そして自動脅威ハンティングのための完全な製品スイートで強化された専用の検出コンテンツセットを提供します。

下の Explore Detections ボタンを押すと、APT37によるSHROUDED#SLEEP攻撃を対象としたSigmaルールのコレクションに即座にアクセスできます。これらのルールは30以上のSIEM、EDR、データレイクソリューションと互換性があり、 MITRE ATT&CK®フレームワーク にマップされ、脅威の調査を円滑にします。さらに、これらの検出は、 CTI 参考文献、攻撃タイムライン、トリアージおよび監査推奨事項など、豊富なメタデータで強化されています。

Explore Detections

APT37の活動を後日分析し、グループが利用するTTPのトップに立つための追加の検出コンテンツを求めるサイバーセキュリティ専門家は、SOC Primeチームがキュレーションした専用のルールセットを探索できます。単に「APT37」タグを使用して脅威検出マーケットプレイスを閲覧するか、このリンクを使用して APT37ルールコレクションに直接アクセスしてください。 directly.

SHROUDED#SLEEPキャンペーン分析

グループに関連する北朝鮮のハッカーは、 APT37 InkySquid 、RedEyes、Ricochet Chollima、またはRuby Sleetとしても知られ、カンボジアと潜在的に他の東南アジア諸国を標的とするキャンペーンでVeilShellという新しいバックドアとRATを展開しています。APT37のハッキング集団は、少なくとも2012年以来サイバー脅威の領域で活動しており、北朝鮮の国家保安省と関係があると考えられています。他の北朝鮮の国に支援されたハッキンググループと同様に、APT37は国家の利益と一致する絶え間なく進化する目的を持っている傾向があります。、RedEyes、Ricochet Chollima、またはRuby Sleetとしても知られ、カンボジアと潜在的に他の東南アジア諸国を標的とするキャンペーンでVeilShellという新しいバックドアとRATを展開しています。APT37のハッキング集団は、少なくとも2012年以来サイバー脅威の領域で活動しており、北朝鮮の国家保安省と関係があると考えられています。他の北朝鮮の国に支援されたハッキンググループと同様に、APT37は国家の利益と一致する絶え間なく進化する目的を持っている傾向があります。 Lazarus Group and Kimsuky, APT37 tends to have constantly evolving objectives that align with state interests.

進行中のキャンペーンは Securonixの研究者によって特定され SHROUDED#SLEEPと名付けられ、フィッシング攻撃ベクターを利用して被害者をターゲットにし、ZIPファイルに含まれる悪意のあるLNKファイルを初期ペイロードとして利用しています。起動後、LNKファイルはドロッパーとして機能し、PowerShellコードの実行を開始して、その中に埋め込まれた次段階のコンポーネントをデコードおよび抽出します。特筆すべきは、APT37がPDFとExcelアイコンを使用してそのショートカットファイルを偽装し、二重拡張子を使用して、ユーザーにはPDFおよびXLS部分のみが表示されるようにしていることです。LNKファイルから実行されるPowerShellコマンドは、ショートカット内に隠されたペイロードを取得およびデコードすることを目的としています。これにより、持続可能性を確保するために悪意のあるファイルがスタートアップフォルダにドロップされ、次回のログイン時に実行されるようになります。さらに、ペイロードはExcelファイルを開いて、被害者がバックグラウンドで悪意のある活動が行われている間に正当な文書を見ていると信じ込ませる可能性があります。この種の攻撃は、ソーシャルエンジニアリングとファイルレステクニックを利用して検出を回避します。

複雑な感染連鎖の最終段階で、攻撃者は広範なRAT機能を持つVeilShell、PowerShellベースのマルウェアを展開します。この新しいバックドアは、その隠密な実行と広範な機能、データの押収、レジストリ編集、予定されたタスクの操作を含み、攻撃者に侵害されたシステムを完全に制御することを可能にします。

SHROUDED#SLEEPキャンペーンは、.NETアプリケーションに悪意のあるコードを注入して持続性を保証するために、AppDomainManagerハイジャックというまれな敵技術も利用します。この方法は.NET AppDomainManagerクラスを活用し、アプリケーションの実行の開始時に攻撃者の悪意のあるDLLをロードできるようになります。

SHROUDED#SLEEPオペレーションは、複数の実行レイヤー、持続性の手法、および持続的なコントロールのための多才なPowerShellベースのバックドアRATを採用した洗練された隠密なキャンペーンです。その高度な技術と敵の能力により、独自の組み合わせの正当工具と技法を利用して防御を回避し、ターゲットへのアクセスを維持するため、このキャンペーンおよび同様の攻撃は、サイバー防御者に非常に迅速な対応を必要とします。 AI駆動の検出エンジニアリング、自動脅威ハンティング、および高度な脅威検出のためのSOC Primeの完全な製品スイート を活用することで、革新的な組織は攻撃者よりも迅速に行動し、防御を高めることができます。