El actor de amenazas patrocinado por el estado norcoreano conocido como APT37 ha distribuido cuidadosamente una nueva puerta trasera, denominada “VeilShell”. Vale la pena señalar su objetivo: la mayoría de las amenazas persistentes avanzadas (APT) de Corea del Norte se han dirigido durante mucho tiempo a organizaciones en Corea del Sur o Japón, pero la última campaña de APT37 parece estar dirigida contra un país con el que Kim Jong-One tiene relaciones más complejas: Camboya.
Aunque Pyongyang todavía mantiene una embajada en Phnom Penh y los dos países comparten una historia de vínculos soviéticos en la región, las relaciones modernas entre los dos están lejos de ser cálidas. El programa de armas nucleares de la RPDC, las pruebas de misiles en curso, las actividades cibernéticas y la agresión general hacia sus vecinos contradicen la postura de Camboya sobre las armas de destrucción masiva (ADM) y su llamado a un diálogo diplomático significativo entre todos los países de la región, según observadores de la región. . habiendo notado.
Esta desconfianza ha llamado la atención del régimen norcoreano, según Securonix, que informó de una nueva campaña denominada “Envuelto # Dormir” circulan contra organizaciones camboyanas.
Securonix no compartió victimología detallada, pero para atraer objetivos, APT37 (también conocido como InkSquid, RedEyes, BadRAT, Reaper, ScarCruft y Ricochet Chollima) distribuye correos electrónicos maliciosos relacionados con asuntos camboyanos y en el idioma principal de Camboya, el jemer. Un señuelo, por ejemplo, ofrece a los beneficiarios acceso a una hoja de cálculo relacionada con los ingresos anuales en dólares estadounidenses en varios sectores del país, como trabajo social, educación, salud y agricultura.
Escondidos en estos correos electrónicos hay archivos de acceso directo de puerta trasera maliciosos, que se utilizan para establecer una persistencia silenciosa en las redes específicas.
Atajos sigilosos de Shrouded#Sleep
En términos de rutina de infección, una infección Shrouded#Sleep comienza, como muchas otras, con un archivo .ZIP que contiene un archivo de acceso directo de Windows (.LNK).
“Es increíblemente común: si lanzas un dardo al objetivo de un actor de amenazas, es probable que se alcance un archivo de acceso directo”, dice Tim Peck, investigador senior de amenazas de Securonix. “Es simple, efectivo. Combina muy bien con correos electrónicos de phishing. Y es fácil de ocultar”.
Windows oculta la extensión de archivo .LNK de forma predeterminada, reemplazándola con una pequeña flecha en la esquina inferior izquierda del ícono de un archivo, lo que da como resultado una interfaz de usuario más limpia en general. El resultado es que atacantes como APT37 pueden intercambiar el ícono predeterminado de un .LNK por otro de su elección y usar extensiones dobles para ocultar la verdadera naturaleza del archivo.
APT37 proporciona a sus archivos de acceso directo iconos PDF y Excel y les asigna extensiones dobles como “.pdf.lnk” o “.xls.lnk”, de modo que sólo las partes .PDF y .XLS de la extensión se muestren a los usuarios.
En última instancia, señala Peck, “a menos que esté buscando la pequeña flecha que Microsoft agrega en los archivos de acceso directo, es muy probable que la pierda”. » Una víctima poco razonable con vista de águila también podría haber notado que, a diferencia de los archivos de acceso directo típicos, que tienden a tener sólo unos pocos kilobytes de tamaño, estos tenían un tamaño de entre 60 y 600 kilobytes.
Estos kilobytes contenían la carga útil maliciosa APT37, que Securonix denominó “VeilShell”.
La paciente perseverancia de VeilShell
La campaña SHROUDED#SLEEP destaca por su combinación de vanguardia de herramientas exclusivas y vida fuera de la tierra, así como por una impresionante mecánica de persistencia y sigilo.
“Se trata de una operación sofisticada y sigilosa dirigida al sudeste asiático, que aprovecha múltiples capas de ejecución, mecanismos de persistencia y un RAT de puerta trasera versátil basado en PowerShell para obtener control a largo plazo de los sistemas comprometidos”, según el análisis de Securonix. “A lo largo de esta investigación, hemos demostrado cómo los actores de amenazas diseñaron metódicamente sus cargas útiles y utilizaron una combinación interesante de herramientas y técnicas legítimas para eludir las defensas y mantener el acceso a sus objetivos”.
VeilShell, por ejemplo, es un troyano multifuncional de puerta trasera y acceso remoto (RAT) basado en PowerShell. Es capaz de hacer todo lo que suelen hacer las RAT: descargar y subir archivos, modificar y eliminar archivos existentes en el sistema, cambiar la configuración del sistema, crear tareas programadas para la persistencia, etc.
En particular, APT37 también logra persistencia a través de Inyección de AppDomainManageruna técnica más rara que implica la inyección de código malicioso en aplicaciones .NET.
De lo contrario, todas estas funciones y técnicas maliciosas podrían causar mucho ruido en los sistemas específicos, razón por la cual APT37 utiliza algunos trucos para contrarrestarlo. Por ejemplo, implementa temporizadores de suspensión prolongados para interrumpir diferentes etapas de la cadena de ataque, asegurando que las actividades maliciosas no ocurran en una sucesión obvia.
Como dice Peck: “Los actores de amenazas fueron increíblemente pacientes, lentos y metódicos. Utilizaron muchos temporizadores de suspensión prolongados: estamos hablando de unos 6.000 segundos entre diferentes fases de ataque. Y el objetivo principal [of the shortcut file] era preparar el terreno. En realidad, no ejecutó ningún malware. Colocó los archivos en una ubicación que les permitiría ejecutarse de forma autónoma la próxima vez que se reiniciara el sistema. Este reinicio podría ocurrir el mismo día o dentro de una semana, dependiendo de cómo el usuario use su PC. »
Quizás era emblemático de un actor amenazador que tenía confianza y paciencia a raudales. “Muchas veces vemos este tipo de campañas caer y hundirse. Pero esto definitivamente fue diseñado con el sigilo en mente”, dice.