Os ataques cibernéticos são uma das ameaças mais persistentes e sofisticadas enfrentadas pelas organizações atualmente. Recentemente, uma nova campanha de espionagem cibernética atribuída a agentes norte-coreanos foi identificada, onde o backdoor VeilShell está sendo utilizado para ataques no Sudeste Asiático. Este artigo explora os detalhes dessa campanha, suas táticas, técnicas e procedimentos, bem como as recomendações para proteção contra tais ameaças.
Sumário Executivo
Pesquisadores de segurança da Securonix detectaram uma nova operação de ciberespionagem denominada SHROUDED#SLEEP, atribuída ao grupo APT37 (também conhecido como Reaper ou Group123) da Coreia do Norte. O grupo é conhecido por atacar alvos fora da Coreia do Sul, desta vez focando no Camboja e outros países do Sudeste Asiático.
O elemento central dessa campanha é o VeilShell, um backdoor customizado baseado em PowerShell. Essa ferramenta oferece aos invasores controle total sobre as máquinas comprometidas, permitindo desde a exfiltração de dados até a execução de comandos remotos.
Informações Sobre a Ameaça
O APT37 tem um histórico de conduzir ataques altamente direcionados contra organizações governamentais, militares e de infraestrutura crítica. No caso da campanha SHROUDED#SLEEP, as vítimas foram atingidas principalmente por meio de e-mails de phishing, contendo arquivos zip maliciosos.
Ao abrir os arquivos de atalho dentro do ZIP, os sistemas das vítimas executam scripts do PowerShell. Esses scripts implantam o backdoor VeilShell, que permanece inativo até que o sistema seja reiniciado. Essa abordagem cuidadosa e paciente ajuda os atacantes a evitarem detecção, pois o malware só entra em ação após a reinicialização.
O VeilShell oferece aos atacantes uma gama completa de recursos de Trojan de Acesso Remoto (RAT), incluindo:
Exfiltração de dados;
Registro de eventos;
Criação e manipulação de tarefas agendadas;
Persistência nos sistemas comprometidos.
Cadeia de Ataque e Técnicas Utilizadas
Os ataques do APT37 seguem uma cadeia de múltiplas fases. Primeiramente, o alvo recebe um e-mail de phishing contendo um arquivo zip com atalhos disfarçados (por exemplo, "Relatório sobre ONG Income_edit.xlsx.lnk"). Ao clicar no arquivo, um processo de execução do PowerShell é iniciado, decodificando e extraindo cargas maliciosas embutidas no arquivo de atalho. Essa técnica é semelhante à observada em campanhas anteriores da Coreia do Norte, como a DEEP#GOSU.
Um dos métodos de persistência explorado pelos atacantes é o sequestro de AppDomainManager, utilizado para injetar código malicioso em aplicativos baseados no .NET Framework. A persistência do malware é garantida com a colocação de arquivos maliciosos na pasta de inicialização do Windows, permitindo que o VeilShell seja executado sempre que o sistema for reiniciado.
Comunicação com Servidores de Controle (C2)
Após a ativação, o VeilShell se conecta a um servidor C2 (Command and Control), permitindo que os atacantes controlem remotamente o sistema infectado. A comunicação entre o backdoor e o servidor C2 ocorre por meio de solicitações HTTP POST e GET, com as funções do PowerShell executando ações como upload e download de arquivos e execução de comandos remotos.
Os scripts JavaScript carregados pelo backdoor também desempenham um papel essencial no envio de informações, como o nome do host da máquina comprometida, para o servidor C2. Essa técnica permite que os atacantes personalizem ainda mais os comandos para cada alvo.
Indicadores de Comprometimento (IoC)
Durante a investigação, foram identificados vários Indicadores de Comprometimento (IoC) relacionados à campanha SHROUDED#SLEEP, incluindo hashes de arquivos, URLs maliciosas e endereços IP. Entre eles, destacam-se:
Hashes de arquivos maliciosos:
MD5: 63dc2ab3fb59a1e5caf485b60ed1f9cc
SHA256: 9d0807210b0615870545a18ab8eae8cecf324e89ab8d3b39a461d45cab9ef957
URLs e IPs maliciosos:
hxxps://jumpshare[.]com/view/load/crjl6ovj7HVGtuhdQrF1
IP: 208.85.16[.]88
Esses indicadores devem ser usados para fortalecer as defesas cibernéticas das organizações, bloqueando o acesso a esses recursos e monitorando atividades suspeitas nas redes.
MITRE ATT&CK - Táticas e Técnicas
A campanha SHROUDED#SLEEP envolve várias táticas documentadas no MITRE ATT&CK Framework, incluindo:
Initial Access: Acesso inicial via phishing com anexos maliciosos.
Execution: Execução de código malicioso via PowerShell.
Persistence: Sequestro de AppDomainManager para manter a persistência.
Command and Control: Comunicação com servidores C2 utilizando HTTP.
Essas técnicas ressaltam a sofisticação e a eficácia das táticas empregadas pelos atacantes norte-coreanos.
Recomendações de Mitigação
Para mitigar o impacto de campanhas como a SHROUDED#SLEEP, são recomendadas as seguintes ações:
Educação e conscientização: Treinar funcionários para identificar e-mails de phishing e evitar abrir anexos suspeitos.
Atualizações regulares: Manter todos os sistemas e softwares atualizados com os patches de segurança mais recentes.
Uso de antivírus: Implementar soluções de segurança que incluam antivírus e antimalware.
Monitoramento de rede: Implementar IDS/IPS para detectar atividades anômalas.
Controle de acesso: Utilizar autenticação multifator (MFA) e restringir privilégios de acesso.
Backups regulares: Realizar backups frequentes e armazená-los em locais seguros.
Conclusão
A campanha SHROUDED#SLEEP destaca o aumento da sofisticação e persistência das ameaças cibernéticas patrocinadas por Estados. O uso do backdoor VeilShell e as técnicas de persistência empregadas pelos hackers norte-coreanos mostram a importância de defesas robustas e de uma resposta rápida para mitigar os impactos dessas ameaças. As organizações devem adotar uma abordagem proativa de segurança cibernética, utilizando inteligência de ameaças e melhores práticas para proteger seus ativos críticos.
Comments