Βορειοκορεάτες χάκερ χρησιμοποιούν το νέο VeilShell Backdoor
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Βορειοκορεάτες χάκερ χρησιμοποιούν το νέο VeilShell Backdoor
https://www.secnews.gr/623292/voreiokoreates-hacker-xrisimopoioun-neo-veilshell-backdoor/
Oct 3rd 2024, 17:12
Παράγοντες απειλών που συνδέονται με τη Βόρεια Κορέα, έχουν παρατηρηθεί να παραδίδουν ένα προηγουμένως μη τεκμηριωμένο trojan backdoor που ονομάζεται VeilShell, ως μέρος μιας εκστρατείας που στοχεύει την Καμπότζη και πιθανώς άλλες χώρες της Νοτιοανατολικής Ασίας.
Δείτε επίσης: Spear-phishing καμπάνια μολύνει υπεύθυνους προσλήψεων με το backdoor More_eggs
Η εκστρατεία, που ονομάστηκε SHROUDED#SLEEP από τη Securonix, πιστεύεται ότι είναι έργο της APT37, που είναι επίσης γνωστή ως InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet και ScarCruft.
Ενεργή τουλάχιστον από το 2012, η ομάδα εκτιμάται ότι ανήκει στο Υπουργείο Κρατικής Ασφάλειας της Βόρειας Κορέας (MSS). Όπως και με άλλες ομάδες που υποστηρίζονται από το κράτος, εκείνες που συνδέονται με τη Βόρεια Κορέα, συμπεριλαμβανομένης της Ομάδας Lazarus και Kimsuky, ποικίλλουν ως προς τον τρόπο λειτουργίας τους και πιθανότατα έχουν διαρκώς εξελισσόμενους στόχους που βασίζονται στα κρατικά συμφέροντα.
Ένα βασικό κακόβουλο λογισμικό στην εργαλειοθήκη της είναι το RokRAT (γνωστό και ως Goldbackdoor), αν και η ομάδα έχει επίσης αναπτύξει προσαρμοσμένα εργαλεία για να διευκολύνει τη συλλογή μυστικών πληροφοριών.
Προς το παρόν δεν είναι γνωστό πώς το ωφέλιμο φορτίο του πρώτου σταδίου, ένα αρχείο ZIP που φέρει ένα αρχείο συντόμευσης των Windows (LNK), παραδίδεται στους στόχους. Ωστόσο, υπάρχει η υποψία ότι πιθανότατα περιλαμβάνει την αποστολή phishing email για να διαδώσει τελικά το VeilShell Backdoor.
Δείτε ακόμα: Οι Βορειοκορεάτες hackers Kimsuky χρησιμοποιούν τα νέα malware KLogEXE και FPSpy
Το αρχείο LNK, λειτουργεί ως dropper καθώς ενεργοποιεί την εκτέλεση του κώδικα PowerShell για την αποκωδικοποίηση και την εξαγωγή στοιχείων επόμενου σταδίου που είναι ενσωματωμένα σε αυτό.
Αυτό περιλαμβάνει ένα αβλαβές έγγραφο δέλεαρ, ένα Microsoft Excel ή ένα έγγραφο PDF, που ανοίγει αυτόματα, αποσπώντας την προσοχή του χρήστη, ενώ ένα αρχείο διαμόρφωσης ("d.exe.config") και ένα κακόβουλο αρχείο DLL ("DomainManager.dll") είναι γραμμένα σε το φόντο του φακέλου εκκίνησης των Windows.
Στον ίδιο φάκελο αντιγράφεται επίσης ένα νόμιμο εκτελέσιμο αρχείο με το όνομα "dfsvc.exe" που σχετίζεται με την τεχνολογία ClickOnce στο Microsoft .NET Framework. Το αρχείο αντιγράφεται ως "d.exe."
Αυτό που κάνει την αλυσίδα επίθεσης να ξεχωρίζει είναι η χρήση μιας λιγότερο γνωστής τεχνικής που ονομάζεται AppDomainManager injection προκειμένου να εκτελεστεί το DomainManager.dll όταν εκκινείται το "d.exe" και το δυαδικό διαβάζει το συνοδευτικό αρχείο "d.exe.config" που βρίσκεται στον ίδιο φάκελο εκκίνησης.
Δείτε επίσης: Βορειοκορεάτες hackers χρησιμοποιούν ψεύτικο FreeConference app και εξαπατούν χρήστες
Οι Βορειοκορεάτες χάκερ, όπως αυτοί που διαδίδουν το VeilShell Backdoor, αποτελούν μια από τις πιο ενεργές και απειλητικές ομάδες στον κυβερνοχώρο παγκοσμίως. Λειτουργώντας συχνά υπό την καθοδήγηση της κυβέρνησης, αυτοί οι χάκερ είναι γνωστοί για τις προηγμένες τεχνικές τους και την εστίασή τους σε κρατικές επιθέσεις, οικονομική κατασκοπεία και κυβερνοεγκλήματα. Οι πιο γνωστές ομάδες, όπως οι Lazarus και APT38, έχουν εμπλακεί σε πολλές επιθέσεις υψηλού προφίλ, συμπεριλαμβανομένων παραβιάσεων κατά τραπεζικών ιδρυμάτων και μεγάλων επιχειρήσεων. Η δράση τους συνεχίζει να προκαλεί ανησυχία στη διεθνή κοινότητα, απαιτώντας αυξημένη εγρήγορση και αντίμετρα για την αντιμετώπισης των απειλών αυτών.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Βορειοκορεάτες χάκερ χρησιμοποιούν το νέο VeilShell Backdoor
https://www.secnews.gr/623292/voreiokoreates-hacker-xrisimopoioun-neo-veilshell-backdoor/
Oct 3rd 2024, 17:12
Παράγοντες απειλών που συνδέονται με τη Βόρεια Κορέα, έχουν παρατηρηθεί να παραδίδουν ένα προηγουμένως μη τεκμηριωμένο trojan backdoor που ονομάζεται VeilShell, ως μέρος μιας εκστρατείας που στοχεύει την Καμπότζη και πιθανώς άλλες χώρες της Νοτιοανατολικής Ασίας.
Δείτε επίσης: Spear-phishing καμπάνια μολύνει υπεύθυνους προσλήψεων με το backdoor More_eggs
Η εκστρατεία, που ονομάστηκε SHROUDED#SLEEP από τη Securonix, πιστεύεται ότι είναι έργο της APT37, που είναι επίσης γνωστή ως InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet και ScarCruft.
Ενεργή τουλάχιστον από το 2012, η ομάδα εκτιμάται ότι ανήκει στο Υπουργείο Κρατικής Ασφάλειας της Βόρειας Κορέας (MSS). Όπως και με άλλες ομάδες που υποστηρίζονται από το κράτος, εκείνες που συνδέονται με τη Βόρεια Κορέα, συμπεριλαμβανομένης της Ομάδας Lazarus και Kimsuky, ποικίλλουν ως προς τον τρόπο λειτουργίας τους και πιθανότατα έχουν διαρκώς εξελισσόμενους στόχους που βασίζονται στα κρατικά συμφέροντα.
Ένα βασικό κακόβουλο λογισμικό στην εργαλειοθήκη της είναι το RokRAT (γνωστό και ως Goldbackdoor), αν και η ομάδα έχει επίσης αναπτύξει προσαρμοσμένα εργαλεία για να διευκολύνει τη συλλογή μυστικών πληροφοριών.
Προς το παρόν δεν είναι γνωστό πώς το ωφέλιμο φορτίο του πρώτου σταδίου, ένα αρχείο ZIP που φέρει ένα αρχείο συντόμευσης των Windows (LNK), παραδίδεται στους στόχους. Ωστόσο, υπάρχει η υποψία ότι πιθανότατα περιλαμβάνει την αποστολή phishing email για να διαδώσει τελικά το VeilShell Backdoor.
Δείτε ακόμα: Οι Βορειοκορεάτες hackers Kimsuky χρησιμοποιούν τα νέα malware KLogEXE και FPSpy
Το αρχείο LNK, λειτουργεί ως dropper καθώς ενεργοποιεί την εκτέλεση του κώδικα PowerShell για την αποκωδικοποίηση και την εξαγωγή στοιχείων επόμενου σταδίου που είναι ενσωματωμένα σε αυτό.
Αυτό περιλαμβάνει ένα αβλαβές έγγραφο δέλεαρ, ένα Microsoft Excel ή ένα έγγραφο PDF, που ανοίγει αυτόματα, αποσπώντας την προσοχή του χρήστη, ενώ ένα αρχείο διαμόρφωσης ("d.exe.config") και ένα κακόβουλο αρχείο DLL ("DomainManager.dll") είναι γραμμένα σε το φόντο του φακέλου εκκίνησης των Windows.
Στον ίδιο φάκελο αντιγράφεται επίσης ένα νόμιμο εκτελέσιμο αρχείο με το όνομα "dfsvc.exe" που σχετίζεται με την τεχνολογία ClickOnce στο Microsoft .NET Framework. Το αρχείο αντιγράφεται ως "d.exe."
Αυτό που κάνει την αλυσίδα επίθεσης να ξεχωρίζει είναι η χρήση μιας λιγότερο γνωστής τεχνικής που ονομάζεται AppDomainManager injection προκειμένου να εκτελεστεί το DomainManager.dll όταν εκκινείται το "d.exe" και το δυαδικό διαβάζει το συνοδευτικό αρχείο "d.exe.config" που βρίσκεται στον ίδιο φάκελο εκκίνησης.
Δείτε επίσης: Βορειοκορεάτες hackers χρησιμοποιούν ψεύτικο FreeConference app και εξαπατούν χρήστες
Οι Βορειοκορεάτες χάκερ, όπως αυτοί που διαδίδουν το VeilShell Backdoor, αποτελούν μια από τις πιο ενεργές και απειλητικές ομάδες στον κυβερνοχώρο παγκοσμίως. Λειτουργώντας συχνά υπό την καθοδήγηση της κυβέρνησης, αυτοί οι χάκερ είναι γνωστοί για τις προηγμένες τεχνικές τους και την εστίασή τους σε κρατικές επιθέσεις, οικονομική κατασκοπεία και κυβερνοεγκλήματα. Οι πιο γνωστές ομάδες, όπως οι Lazarus και APT38, έχουν εμπλακεί σε πολλές επιθέσεις υψηλού προφίλ, συμπεριλαμβανομένων παραβιάσεων κατά τραπεζικών ιδρυμάτων και μεγάλων επιχειρήσεων. Η δράση τους συνεχίζει να προκαλεί ανησυχία στη διεθνή κοινότητα, απαιτώντας αυξημένη εγρήγορση και αντίμετρα για την αντιμετώπισης των απειλών αυτών.
Πηγή: thehackernews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια