Se ha observado que los actores de amenazas con vínculos con Corea del Norte entregan una puerta trasera y un troyano de acceso remoto (RAT) previamente indocumentados llamado VeilShell como parte de una campaña dirigida a Camboya y probablemente a otros países del sudeste asiático.
La actividad, denominada ENVUELTO#DUERME de Securonix, se cree que es obra de APT37, también conocido como InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet y ScarCruft.
Activo desde al menos 2012, el colectivo adversario se considera parte del Ministerio de Seguridad del Estado (MSS) de Corea del Norte. Al igual que otros grupos alineados con el Estado, los afiliados a Corea del Norte, incluidos el Grupo Lazarus y Kimsuky, varían en su modus operandi y probablemente tengan objetivos en constante cambio basados en los intereses estatales.
Uno de los principales malware de su conjunto de herramientas es RokRAT (también conocido como Goldbackdoor), aunque el grupo también ha desarrollado herramientas personalizadas para facilitar la recopilación de inteligencia encubierta.
Actualmente no está claro cómo se entrega a los objetivos la carga útil de la primera etapa, un archivo ZIP que contiene un archivo de acceso directo de Windows (LNK). Sin embargo, se sospecha que probablemente esté enviando correos electrónicos de phishing.
“EL [VeilShell] El troyano de puerta trasera permite al atacante acceso total a la máquina comprometida”, dijeron los investigadores Den Iuzvyk y Tim Peck en un informe técnico. informe compartido con The Hacker News. “Algunas características incluyen filtración de datos, registro y creación o manipulación de tareas programadas”.
El archivo LNK, una vez iniciado, actúa como un cuentagotas, ya que activa la ejecución del código PowerShell para decodificar y extraer los componentes del siguiente paso integrados en él.
Esto incluye un documento señuelo inofensivo, un documento de Microsoft Excel o PDF, que se abre automáticamente, distrayendo al usuario mientras se escriben en el archivo un archivo de configuración (“d.exe.config”) y un archivo DLL malicioso (“DomainManager.dll”). fondo de la carpeta de inicio de Windows.
También se copia en la misma carpeta un ejecutable legítimo llamado “dfsvc.exe”, asociado con la tecnología ClickOnce en Microsoft .NET Framework. El archivo se copia con el nombre “d.exe”.
Lo que distingue a la cadena de ataque es el uso de una técnica menos conocida llamada inyección AppDomainManager para ejecutar DomainManager.dll cuando se inicia “d.exe” al inicio y el binario lee el archivo “d” .exe.config”. que lo acompaña. ubicado en la misma carpeta de inicio.
Es de destacar que este enfoque también fue utilizado recientemente por el actor Earth Baxia, alineado con China, lo que indica que poco a poco está ganando terreno entre los actores de amenazas como una alternativa a la descarga de archivos DLL.
El archivo DLL, por otro lado, se comporta como un cargador simple para recuperar el código JavaScript de un servidor remoto, que, a su vez, habla con otro servidor para obtener la puerta trasera VeilShell.
VeilShell es un malware basado en PowerShell diseñado para contactar a un servidor de comando y control (C2) y esperar instrucciones adicionales que le permitan recopilar información del archivo, comprimir una carpeta específica en un archivo ZIP y descargarlo nuevamente en el servidor C2. , descargue archivos desde una URL específica, cambie el nombre y elimine archivos, y extraiga archivos ZIP.
“En general, los actores de amenazas fueron bastante pacientes y metódicos”, señalaron los investigadores. “Cada etapa del ataque tiene tiempos de inactividad muy prolongados para evitar las detecciones heurísticas tradicionales. Una vez que se implementa VeilShell, en realidad no se ejecuta hasta el siguiente reinicio del sistema”.
“La campaña SHROUDED#SLEEP representa una operación sofisticada y sigilosa dirigida al sudeste asiático, aprovechando múltiples capas de ejecución, mecanismos de persistencia y un RAT de puerta trasera versátil basado en PowerShell para obtener control a largo plazo sobre los sistemas comprometidos”.
El informe de Securonix llega un día después de que Symantec, propiedad de Broadcom, revelara que el actor norcoreano rastreado por Andariel apuntó a tres organizaciones diferentes en los Estados Unidos en agosto de 2024 en una campaña financiera por motivos raciales.