Detecção da Campanha Shrouded#Sleep: Hackers Norte-Coreanos Ligados ao Grupo APT37 Usam Novo Malware VeilShell para Alvo no Sudeste Asiático
Índice:
Grupos APT afiliados à Coreia do Norte têm consistentemente se classificado entre os adversários mais ativos na última década. Este ano, especialistas em segurança observaram um aumento significativo em suas operações maliciosas, impulsionado por conjuntos de ferramentas aprimorados e uma gama ampliada de alvos. Em agosto de 2024, hackers norte-coreanos reforçaram seu arsenal com o Trojan MoonPeak. Um mês antes, em julho de 2024, a CISA, o FBI e parceiros internacionais emitiram um alerta conjunto alertando sobre a atividade global de ciber-espionagem pelo grupo Andariel APT . Após esses incidentes, o APT37 ligado à Coreia do Norte aumentou os ataques no Sudeste Asiático, implantando o notório backdoor VeilShell.
Detectar Ataques do Backdoor VeilShell na Campanha SHROUDED#SLEEP pelo APT37
Para se antecipar a possíveis intrusões e detectar ataques em seus estágios iniciais, os profissionais de segurança buscam conteúdo de detecção cuidadosamente elaborado que aborde as TTPs específicas usadas pelos hackers norte-coreanos. Os defensores cibernéticos podem contar com a Plataforma SOC Prime para defesa cibernética coletiva, que fornece um conjunto personalizado de conteúdo de detecção apoiado por um conjunto completo de produtos para caça avançada de ameaças, engenharia de detecção alimentada por IA e caça automatizada de ameaças.
Clique no botão Explorar Detecções abaixo para acessar imediatamente uma coleção de regras Sigma que abordam os ataques SHROUDED#SLEEP pelo APT37. As regras são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK® para facilitar a investigação de ameaças. Além disso, as detecções são enriquecidas com extensos metadados, incluindo CTI referências, cronogramas de ataque, recomendações de triagem e auditoria, e mais.
Especialistas em cibersegurança que buscam conteúdo adicional de detecção para analisar retrospectivamente as atividades do APT37 e acompanhar as TTPs utilizadas pelo grupo podem explorar um conjunto de regras dedicado, elaborado pela equipe SOC Prime. Basta navegar no Threat Detection Marketplace usando a tag “APT37” ou usar este link para acessar diretamente a coleção de regras APT37 .
Análise da Campanha SHROUDED#SLEEP
Hackers norte-coreanos ligados ao ligado à Coreia do Norte grupo, também conhecido como InkySquid, Reaper, RedEyes, Ricochet Chollima, ou Ruby Sleet, foram observados implantando um novo backdoor e RAT denominado VeilShell em uma campanha que mira o Camboja e potencialmente outros países do Sudeste Asiático. O coletivo de hackers APT37, que está ativo na arena da ameaça cibernética desde pelo menos 2012, acredita-se ter conexões com o Ministério da Segurança do Estado da Coreia do Norte. Similar a outros grupos de hackers apoiados pela nação norte-coreana, como o Grupo Lazarus and Kimsuky, o APT37 tende a ter objetivos em constante evolução, alinhados aos interesses do Estado.
A campanha em andamento identificada por pesquisadores da Securonix e denominada SHROUDED#SLEEP vitima os alvos via um vetor de ataque de phishing utilizando e-mails que contêm um arquivo ZIP com um arquivo LNK malicioso como carga inicial. Uma vez lançado, o arquivo LNK funciona como um dropper, iniciando a execução de código PowerShell para decodificar e extrair os componentes de próxima fase embutidos nele. Notavelmente, o APT37 disfarça seus arquivos de atalho com ícones de PDF e Excel, usando extensões duplas, para que apenas as partes PDF e XLS sejam visíveis aos usuários. O comando PowerShell executado a partir do arquivo LNK visa recuperar e decodificar uma carga oculta no atalho. Ele solta arquivos maliciosos na pasta de Inicialização para garantir a persistência, permitindo que sejam executados no próximo login. Além disso, a carga abre um arquivo Excel, provavelmente para atrair vítimas a acreditar que visualizam um documento legítimo enquanto atividades maliciosas ocorrem em segundo plano. Esse tipo de ataque utiliza engenharia social e técnicas sem arquivos para evitar detecção.
Nos estágios finais de uma cadeia de infecção complexa, os atacantes implantam o VeilShell, um malware baseado em PowerShell com extensos recursos de RAT. Este novo backdoor é notável por sua execução furtiva e capacidades amplas, incluindo exfiltração de dados, edições de registro e manipulação de tarefas agendadas, concedendo aos atacantes controle total sobre os sistemas comprometidos.
A campanha SHROUDED#SLEEP também emprega uma técnica rara de adversário conhecida como sequestro de AppDomainManager para garantir a persistência ao injetar código malicioso em aplicações .NET. Este método aproveita a classe .NET AppDomainManager, permitindo que os atacantes carreguem seu DLL malicioso no início da execução da aplicação.
A operação SHROUDED#SLEEP é uma campanha sofisticada e furtiva que emprega múltiplas camadas de execução, métodos de persistência, e um versátil backdoor RAT baseado em PowerShell para controle sustentado de sistemas comprometidos. Devido ao seu aumento de sofisticação e capacidade dos adversários de depender de uma mistura única de ferramentas e técnicas legítimas para evadir defesas e manter acesso aos seus alvos, esta campanha, junto com ataques semelhantes, requer ultra-responsividade dos defensores cibernéticos. Ao alavancar o conjunto completo de produtos da SOC Prime para engenharia de detecção alimentada por IA, caça automatizada de ameaças e detecção avançada de ameaças, organizações progressivas podem agir mais rápido que os atacantes e elevar suas defesas em escala.
