Kuzey Kore ile bağlantısı olan tehdit aktörlerinin, Kamboçya’yı ve muhtemelen diğer Güneydoğu Asya ülkelerini hedef alan bir kampanyanın parçası olarak VeilShell adı verilen, daha önce belgelenmemiş bir arka kapı ve uzaktan erişim truva atı (RAT) yaydığı gözlemlendi.
Adı geçen etkinlik ÖRTÜLÜ#UYKU Securonix tarafından üretilen bu tasarımın InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet ve ScarCruft olarak da bilinen APT37’nin eseri olduğuna inanılıyor.
En az 2012’den bu yana aktif olan bu düşman kolektifin, Kuzey Kore Devlet Güvenlik Bakanlığı’nın (MSS) bir parçası olduğu değerlendiriliyor. Devlet bağlantılı diğer gruplar gibi, Lazarus Grubu ve Kimsuky de dahil olmak üzere Kuzey Kore’ye bağlı grupların işleyiş tarzları farklılık gösteriyor ve muhtemelen devlet çıkarlarına dayalı olarak sürekli gelişen hedeflere sahipler.
Araç kutusundaki önemli kötü amaçlı yazılımlardan biri RokRAT’tır (diğer adıyla Goldbackdoor), ancak grup aynı zamanda gizli istihbarat toplanmasını kolaylaştırmak için özel araçlar da geliştirmiştir.
Windows kısayol (LNK) dosyasını taşıyan bir ZIP arşivi olan ilk aşama yükünün hedeflere nasıl iletildiği şu anda bilinmiyor. Ancak bunun muhtemelen hedef odaklı kimlik avı e-postaları göndermeyi içerdiğinden şüpheleniliyor.
” [VeilShell] Araştırmacılar Den Iuzvyk ve Tim Peck, The Hacker News ile paylaşılan teknik bir raporda, arka kapı trojanının saldırganın ele geçirilen makineye tam erişimine izin verdiğini söyledi. “Bazı özellikler arasında veri sızdırma, kayıt ve zamanlanmış görev oluşturma veya değiştirme yer alıyor.”
LNK dosyası başlatıldığında, içine gömülü olan sonraki aşama bileşenlerin kodunu çözmek ve çıkarmak için PowerShell kodunun yürütülmesini tetiklediği için bir damlalık görevi görür.
Buna, bir yapılandırma dosyası (“d.exe.config”) ve kötü amaçlı bir DLL (“DomainManager.dll”) dosyası yazılırken kullanıcının dikkatini dağıtan, otomatik olarak açılan, zararsız bir yem belgesi, bir Microsoft Excel veya PDF belgesi dahildir. Windows başlangıç klasörünün arka planı.
Aynı klasöre ayrıca Microsoft .NET Framework’teki ClickOnce teknolojisiyle ilişkili “dfsvc.exe” adlı yasal bir yürütülebilir dosya da kopyalanır. Dosya “d.exe” olarak kopyalanır.
Saldırı zincirini öne çıkaran şey, başlangıçta “d.exe” başlatıldığında ve ikili dosya beraberindeki “d.exe.config” dosyasını okuduğunda DomainManager.dll’yi yürütmek için AppDomainManager enjeksiyonu adı verilen daha az bilinen bir tekniğin kullanılmasıdır. aynı başlangıç klasöründe bulunur.
Bu yaklaşımın son zamanlarda Çin’e bağlı Earth Baxia aktörü tarafından da kullanılmaya başlandığını belirtmekte fayda var; bu, DLL yan yüklemesine alternatif olarak tehdit aktörleri arasında yavaş yavaş ilgi kazandığını gösteriyor.
DLL dosyası, uzak bir sunucudan JavaScript kodunu almak için basit bir yükleyici gibi davranır ve bu da VeilShell arka kapısını elde etmek için farklı bir sunucuya ulaşır.
VeilShell, dosyalar hakkında bilgi toplamasına, belirli bir klasörü ZIP arşivine sıkıştırmasına ve C2 sunucusuna geri yüklemesine olanak tanıyan ek talimatları beklemek üzere bir komut ve kontrol (C2) sunucusuyla bağlantı kurmak üzere tasarlanmış PowerShell tabanlı bir kötü amaçlı yazılımdır. , belirli bir URL’den dosya indirin, dosyaları yeniden adlandırın ve silin ve ZIP arşivlerini çıkarın.
Araştırmacılar, “Genel olarak tehdit aktörleri oldukça sabırlı ve metodikti” dedi. “Geleneksel buluşsal tespitlerden kaçınmak amacıyla, saldırının her aşamasında çok uzun uyku süreleri bulunuyor. VeilShell bir kez konuşlandırıldığında, sistemin bir sonraki yeniden başlatılmasına kadar aslında yürütülmüyor.”
“SHROUDED#SLEEP kampanyası, güvenliği ihlal edilmiş sistemler üzerinde uzun vadeli kontrol elde etmek için birden fazla yürütme katmanından, kalıcılık mekanizmalarından ve çok yönlü PowerShell tabanlı arka kapı RAT’ından yararlanan, Güneydoğu Asya’yı hedef alan karmaşık ve gizli bir operasyonu temsil ediyor.”
Securonix’in raporu, Broadcom’un sahibi olduğu Symantec’in, Andariel olarak takip edilen Kuzey Koreli tehdit aktörünün mali amaçlı bir kampanya kapsamında Ağustos 2024’te ABD’deki üç farklı kuruluşu hedef aldığını açıklamasından bir gün sonra geldi.