Atores de ameaças com ligações com a Coreia do Norte foram observados entregando um backdoor e trojan de acesso remoto (RAT) anteriormente não documentado chamado VeilShell como parte de uma campanha visando o Camboja e provavelmente outros países do Sudeste Asiático.
A atividade, batizada ENCORTADO#SONO da Securonix, acredita-se que seja obra do APT37, também conhecido como InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet e ScarCruft.
Ativo desde pelo menos 2012, o coletivo adversário é considerado parte do Ministério da Segurança do Estado (MSS) da Coreia do Norte. Tal como acontece com outros grupos alinhados ao Estado, os afiliados à Coreia do Norte, incluindo o Grupo Lazarus e Kimsuky, variam no seu modus operandi e provavelmente têm objectivos em constante evolução baseados nos interesses do Estado.
Um malware importante em sua caixa de ferramentas é o RokRAT (também conhecido como Goldbackdoor), embora o grupo também tenha desenvolvido ferramentas personalizadas para facilitar a coleta secreta de inteligência.
Atualmente não se sabe como a carga útil do primeiro estágio, um arquivo ZIP contendo um arquivo de atalho do Home windows (LNK), é entregue aos alvos. No entanto, suspeita-se que provavelmente envolva o envio de e-mails de spear-phishing.
“O trojan backdoor (VeilShell) permite ao invasor acesso complete à máquina comprometida”, disseram os pesquisadores Den Iuzvyk e Tim Peck em um relatório técnico compartilhado com o The Hacker Information. “Alguns recursos incluem exfiltração de dados, registro e criação ou manipulação de tarefas agendadas.”
O arquivo LNK, uma vez iniciado, atua como um conta-gotas, pois aciona a execução do código do PowerShell para decodificar e extrair os componentes do próximo estágio incorporados nele.
Isso inclui um documento de isca inócuo, um documento Microsoft Excel ou PDF, que é aberto automaticamente, distraindo o usuário enquanto um arquivo de configuração (“d.exe.config”) e um arquivo DLL malicioso (“DomainManager.dll”) são escritos em o plano de fundo para a pasta de inicialização do Home windows.
Também é copiado para a mesma pasta um executável legítimo chamado “dfsvc.exe” associado à tecnologia ClickOnce no Microsoft .NET Framework. O arquivo é copiado como “d.exe”.
O que destaca a cadeia de ataque é o uso de uma técnica menos conhecida chamada injeção AppDomainManager para executar DomainManager.dll quando “d.exe” é iniciado na inicialização e o binário lê o arquivo “d.exe.config” que o acompanha. localizado na mesma pasta de inicialização.
É importante notar que esta abordagem também foi recentemente utilizada pelo ator Earth Baxia, alinhado à China, indicando que está lentamente ganhando força entre os atores de ameaças como uma alternativa ao carregamento lateral de DLL.
O arquivo DLL, por sua vez, se comporta como um simples carregador para recuperar o código JavaScript de um servidor remoto, que, por sua vez, chega a um servidor diferente para obter o backdoor VeilShell.
VeilShell é um malware baseado em PowerShell projetado para entrar em contato com um servidor de comando e controle (C2) para aguardar instruções adicionais que permitam coletar informações sobre arquivos, compactar uma pasta específica em um arquivo ZIP e carregá-la de volta para o servidor C2 , baixe arquivos de um URL especificado, renomeie e exclua arquivos e extraia arquivos ZIP.
“No geral, os atores da ameaça foram bastante pacientes e metódicos”, observaram os pesquisadores. “Cada estágio do ataque apresenta tempos de suspensão muito longos, em um esforço para evitar as tradicionais detecções heurísticas. Depois que o VeilShell é implantado, ele não é executado até a próxima reinicialização do sistema.”
“A campanha SHROUDED#SLEEP representa uma operação sofisticada e furtiva visando o Sudeste Asiático, aproveitando múltiplas camadas de execução, mecanismos de persistência e um RAT backdoor versátil baseado em PowerShell para obter controle de longo prazo sobre sistemas comprometidos.”
O relatório da Securonix chega um dia depois que a Symantec, de propriedade da Broadcom, revelou que o ator de ameaça norte-coreano rastreado como Andariel tinha como alvo três organizações diferentes nos EUA em agosto de 2024 como parte de uma campanha com motivação financeira.