top of page
Foto do escritorDiego Arantes

Hackers Norte-Coreanos Empregam Backdoor VeilShell em Ataques Cibernéticos no Sudeste Asiático


Os ataques cibernéticos são uma das ameaças mais persistentes e sofisticadas enfrentadas pelas organizações atualmente. Recentemente, uma nova campanha de espionagem cibernética atribuída a agentes norte-coreanos foi identificada, onde o backdoor VeilShell está sendo utilizado para ataques no Sudeste Asiático. Este artigo explora os detalhes dessa campanha, suas táticas, técnicas e procedimentos, bem como as recomendações para proteção contra tais ameaças.


Sumário Executivo

Pesquisadores de segurança da Securonix detectaram uma nova operação de ciberespionagem denominada SHROUDED#SLEEP, atribuída ao grupo APT37 (também conhecido como Reaper ou Group123) da Coreia do Norte. O grupo é conhecido por atacar alvos fora da Coreia do Sul, desta vez focando no Camboja e outros países do Sudeste Asiático.

O elemento central dessa campanha é o VeilShell, um backdoor customizado baseado em PowerShell. Essa ferramenta oferece aos invasores controle total sobre as máquinas comprometidas, permitindo desde a exfiltração de dados até a execução de comandos remotos.

Informações Sobre a Ameaça

O APT37 tem um histórico de conduzir ataques altamente direcionados contra organizações governamentais, militares e de infraestrutura crítica. No caso da campanha SHROUDED#SLEEP, as vítimas foram atingidas principalmente por meio de e-mails de phishing, contendo arquivos zip maliciosos.

Ao abrir os arquivos de atalho dentro do ZIP, os sistemas das vítimas executam scripts do PowerShell. Esses scripts implantam o backdoor VeilShell, que permanece inativo até que o sistema seja reiniciado. Essa abordagem cuidadosa e paciente ajuda os atacantes a evitarem detecção, pois o malware só entra em ação após a reinicialização.

O VeilShell oferece aos atacantes uma gama completa de recursos de Trojan de Acesso Remoto (RAT), incluindo:

  • Exfiltração de dados;

  • Registro de eventos;

  • Criação e manipulação de tarefas agendadas;

  • Persistência nos sistemas comprometidos.


Cadeia de Ataque e Técnicas Utilizadas

Os ataques do APT37 seguem uma cadeia de múltiplas fases. Primeiramente, o alvo recebe um e-mail de phishing contendo um arquivo zip com atalhos disfarçados (por exemplo, "Relatório sobre ONG Income_edit.xlsx.lnk"). Ao clicar no arquivo, um processo de execução do PowerShell é iniciado, decodificando e extraindo cargas maliciosas embutidas no arquivo de atalho. Essa técnica é semelhante à observada em campanhas anteriores da Coreia do Norte, como a DEEP#GOSU.

Um dos métodos de persistência explorado pelos atacantes é o sequestro de AppDomainManager, utilizado para injetar código malicioso em aplicativos baseados no .NET Framework. A persistência do malware é garantida com a colocação de arquivos maliciosos na pasta de inicialização do Windows, permitindo que o VeilShell seja executado sempre que o sistema for reiniciado.


Comunicação com Servidores de Controle (C2)

Após a ativação, o VeilShell se conecta a um servidor C2 (Command and Control), permitindo que os atacantes controlem remotamente o sistema infectado. A comunicação entre o backdoor e o servidor C2 ocorre por meio de solicitações HTTP POST e GET, com as funções do PowerShell executando ações como upload e download de arquivos e execução de comandos remotos.

Os scripts JavaScript carregados pelo backdoor também desempenham um papel essencial no envio de informações, como o nome do host da máquina comprometida, para o servidor C2. Essa técnica permite que os atacantes personalizem ainda mais os comandos para cada alvo.


Indicadores de Comprometimento (IoC)

Durante a investigação, foram identificados vários Indicadores de Comprometimento (IoC) relacionados à campanha SHROUDED#SLEEP, incluindo hashes de arquivos, URLs maliciosas e endereços IP. Entre eles, destacam-se:

  • Hashes de arquivos maliciosos:

    • MD5: 63dc2ab3fb59a1e5caf485b60ed1f9cc

    • SHA256: 9d0807210b0615870545a18ab8eae8cecf324e89ab8d3b39a461d45cab9ef957

  • URLs e IPs maliciosos:

    • hxxps://jumpshare[.]com/view/load/crjl6ovj7HVGtuhdQrF1

    • IP: 208.85.16[.]88

Esses indicadores devem ser usados para fortalecer as defesas cibernéticas das organizações, bloqueando o acesso a esses recursos e monitorando atividades suspeitas nas redes.


MITRE ATT&CK - Táticas e Técnicas

A campanha SHROUDED#SLEEP envolve várias táticas documentadas no MITRE ATT&CK Framework, incluindo:

  • Initial Access: Acesso inicial via phishing com anexos maliciosos.

  • Execution: Execução de código malicioso via PowerShell.

  • Persistence: Sequestro de AppDomainManager para manter a persistência.

  • Command and Control: Comunicação com servidores C2 utilizando HTTP.

Essas técnicas ressaltam a sofisticação e a eficácia das táticas empregadas pelos atacantes norte-coreanos.


Recomendações de Mitigação

Para mitigar o impacto de campanhas como a SHROUDED#SLEEP, são recomendadas as seguintes ações:

  1. Educação e conscientização: Treinar funcionários para identificar e-mails de phishing e evitar abrir anexos suspeitos.

  2. Atualizações regulares: Manter todos os sistemas e softwares atualizados com os patches de segurança mais recentes.

  3. Uso de antivírus: Implementar soluções de segurança que incluam antivírus e antimalware.

  4. Monitoramento de rede: Implementar IDS/IPS para detectar atividades anômalas.

  5. Controle de acesso: Utilizar autenticação multifator (MFA) e restringir privilégios de acesso.

  6. Backups regulares: Realizar backups frequentes e armazená-los em locais seguros.


Conclusão

A campanha SHROUDED#SLEEP destaca o aumento da sofisticação e persistência das ameaças cibernéticas patrocinadas por Estados. O uso do backdoor VeilShell e as técnicas de persistência empregadas pelos hackers norte-coreanos mostram a importância de defesas robustas e de uma resposta rápida para mitigar os impactos dessas ameaças. As organizações devem adotar uma abordagem proativa de segurança cibernética, utilizando inteligência de ameaças e melhores práticas para proteger seus ativos críticos​.

0 visualização0 comentário

Posts recentes

Ver tudo

Comments


bottom of page