03 de octubre de 2024Ravie LakshmananCiberespionaje/Inteligencia de amenazas Se ha observado que actores de amenazas con vínculos con Corea del Norte entregan una puerta trasera y un troyano de acceso remoto (RAT) previamente indocumentados llamado VeilShell como parte de una campaña dirigida a Camboya y probablemente a otros países del Sudeste Asiático. Se cree que la actividad, denominada SHROUDED#SLEEP por Securonix, es obra de APT37, que también se conoce como InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet y ScarCruft. Activo desde al menos 2012, se considera que el colectivo adversario forma parte del Ministerio de Seguridad del Estado (MSS) de Corea del Norte. Al igual que otros grupos alineados con el Estado, los afiliados a Corea del Norte, incluidos el Grupo Lazarus y Kimsuky, varían en su modus operandi y probablemente tengan objetivos en constante evolución basados ​​en los intereses estatales. Un malware clave en su caja de herramientas es RokRAT (también conocido como Goldbackdoor), aunque el grupo también ha desarrollado herramientas personalizadas para facilitar la recopilación de inteligencia encubierta. Actualmente no se sabe cómo se entrega a los objetivos la carga útil de la primera etapa, un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK). Sin embargo, se sospecha que probablemente implique el envío de correos electrónicos de phishing. «El [VeilShell] El troyano de puerta trasera permite al atacante acceso completo a la máquina comprometida», dijeron los investigadores Den Iuzvyk y Tim Peck en un informe técnico compartido con The Hacker News. «Algunas características incluyen exfiltración de datos, registro y creación o manipulación de tareas programadas». , una vez iniciado, actúa como un cuentagotas en el sentido de que activa la ejecución del código PowerShell para decodificar y extraer los componentes de la siguiente etapa incrustados en él. Esto incluye un documento señuelo inofensivo, un documento de Microsoft Excel o un documento PDF, que se abre automáticamente, distrayendo al usuario. usuario mientras un archivo de configuración («d.exe.config») y un archivo DLL malicioso («DomainManager.dll») se escriben en segundo plano en la carpeta de inicio de Windows. También se copia en la misma carpeta un ejecutable legítimo llamado «dfsvc». .exe» que está asociado con la tecnología ClickOnce en Microsoft .NET Framework. El archivo se copia como «d.exe». Lo que hace que la cadena de ataque se destaque es el uso de una técnica menos conocida llamada inyección AppDomainManager para ejecutar DomainManager. .dll cuando se inicia «d.exe» al inicio y el binario lee el archivo «d.exe.config» adjunto ubicado en la misma carpeta de inicio. Vale la pena señalar que este enfoque también fue utilizado recientemente por el actor Earth Baxia, alineado con China, lo que indica que poco a poco está ganando terreno entre los actores de amenazas como una alternativa a la carga lateral de DLL. El archivo DLL, por su parte, se comporta como un simple cargador para recuperar código JavaScript de un servidor remoto, que, a su vez, llega a un servidor diferente para obtener la puerta trasera VeilShell. VeilShell es un malware basado en PowerShell que está diseñado para comunicarse con un servidor de comando y control (C2) para esperar más instrucciones que le permitan recopilar información sobre archivos, comprimir una carpeta específica en un archivo ZIP y cargarla nuevamente en el servidor C2. , descargue archivos desde una URL específica, cambie el nombre y elimine archivos, y extraiga archivos ZIP. «En general, los actores de amenazas fueron bastante pacientes y metódicos», observaron los investigadores. «Cada etapa del ataque presenta tiempos de suspensión muy prolongados en un esfuerzo por evitar las detecciones heurísticas tradicionales. Una vez que VeilShell se implementa, en realidad no se ejecuta hasta el siguiente reinicio del sistema». «La campaña SHROUDED#SLEEP representa una operación sofisticada y sigilosa dirigida al sudeste asiático que aprovecha múltiples capas de ejecución, mecanismos de persistencia y un RAT de puerta trasera versátil basado en PowerShell para lograr un control a largo plazo sobre los sistemas comprometidos». El informe de Securonix llega un día después de que Symantec, propiedad de Broadcom, revelara que el actor de amenazas norcoreano rastreó cómo Andariel atacó a tres organizaciones diferentes en los EE. UU. en agosto de 2024 como parte de una campaña con motivación financiera. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.