Aktor ancaman yang disponsori negara Korea Utara yang dikenal sebagai APT37 telah dengan hati-hati menyebarkan pintu belakang baru, yang dijuluki “VeilShell.” Yang perlu diperhatikan adalah targetnya: Sebagian besar ancaman persisten tingkat lanjut (APT) Korea Utara memiliki sejarah menargetkan organisasi di Korea Selatan atau Jepang, namun kampanye terbaru APT37 tampaknya ditujukan pada negara yang memiliki hubungan lebih kompleks dengan Kim Jong-Un: Kamboja.
Meskipun Pyongyang masih memiliki kedutaan besar di Phnom Penh dan kedua negara memiliki sejarah hubungan yang sama dengan Soviet di wilayah tersebut, hubungan modern antara keduanya masih jauh dari kata nyaman. Program senjata nuklir DPRK, uji coba rudal yang sedang berlangsung, aktivitas dunia maya, dan agresi umum terhadap negara-negara tetangganya bertentangan dengan sikap Kamboja terhadap senjata pemusnah massal (WMD) dan seruannya untuk dialog diplomatik yang bermakna antara semua negara di kawasan, para pengamat di kawasan. telah mencatat.
Kekhawatiran tersebut telah menarik perhatian rezim Korea Utara, menurut Securonix, yang telah menandai kampanye baru yang disebut “Terselubung#Tidur” beredar melawan organisasi Kamboja.
Securonix tidak membagikan viktimologi secara rinci, tetapi untuk memikat target, APT37 (alias InkSquid, RedEyes, BadRAT, Reaper, ScarCruft, dan Ricochet Chollima) telah menyebarkan email jahat yang berkaitan dengan urusan Kamboja, dan dalam bahasa utama Kamboja, Khmer. Salah satu iming-iming misalnya, menawarkan penerima akses ke spreadsheet terkait pendapatan tahunan dalam dolar AS di berbagai sektor di negara tersebut, seperti pekerjaan sosial, pendidikan, kesehatan, dan pertanian.
Tersembunyi di dalam email ini adalah file pintasan jahat yang menyembunyikan pintu belakang, digunakan untuk membangun persistensi diam-diam di jaringan yang ditargetkan.
Terselubung#Pintasan Tersembunyi untuk Tidur
Dalam hal rutinitas infeksi, infeksi Shrouded#Sleep dimulai, seperti banyak infeksi lainnya, dengan arsip .ZIP yang berisi file pintasan Windows (.LNK).
“Ini sangat umum terjadi – jika Anda melempar anak panah ke papan dart pelaku ancaman, file pintasan mungkin akan terkena,” kata Tim Peck, peneliti ancaman senior di Securonix. “Mudah, dan efektif. Ini cocok sekali dengan email phishing. Dan mudah untuk disamarkan.”
Windows menyembunyikan ekstensi file .LNK secara default, menggantikannya dengan panah kecil di sudut kiri bawah ikon file, sehingga menghasilkan antarmuka pengguna yang lebih bersih secara keseluruhan. Hasilnya adalah penyerang seperti APT37 dapat menukar ikon default .LNK dengan ikon lain yang mereka pilih, dan menggunakan ekstensi ganda untuk menyembunyikan sifat sebenarnya dari file tersebut.
APT37 memberikan file pintasannya ikon PDF dan Excel, dan memberinya ekstensi ganda seperti “.pdf.lnk,” atau “.xls.lnk,” sehingga hanya bagian .PDF dan .XLS dari ekstensi tersebut yang ditampilkan kepada pengguna.
Pada akhirnya, Peck mencatat, “Kecuali Anda mencari panah kecil yang ditambahkan Microsoft pada file pintasan, kemungkinan besar Anda melewatkannya.” Korban yang bermata elang mungkin juga menyadari bahwa tidak seperti file pintasan pada umumnya – yang cenderung hanya berukuran beberapa kilobyte – ukuran file ini berkisar antara 60 hingga 600 kilobyte.
Dalam kilobyte tersebut terdapat muatan berbahaya APT37, yang diberi nama “VeilShell” oleh Securonix.
Kegigihan Pasien VeilShell
Kampanye SHROUDED#SLEEP terkenal karena perpaduan canggih antara alat hidup di luar lahan dan kepemilikan, ditambah mekanisme ketekunan dan sembunyi-sembunyi yang mengesankan.
“Ini mewakili operasi canggih dan tersembunyi yang menargetkan Asia Tenggara dengan memanfaatkan eksekusi berlapis, mekanisme persistensi, dan RAT backdoor berbasis PowerShell yang serbaguna untuk mencapai kontrol jangka panjang atas sistem yang disusupi,” menurut analisis Securonix. “Sepanjang penyelidikan ini, kami telah menunjukkan bagaimana para pelaku ancaman secara metodis menyusun muatan mereka dan memanfaatkan kombinasi menarik antara alat dan teknik yang sah untuk melewati pertahanan dan mempertahankan akses ke target mereka.”
VeilShell misalnya adalah backdoor-plus-remote-access-trojan (RAT) multifungsi berbasis PowerShell. Ia mampu melakukan semua hal yang cenderung dilakukan RAT: mengunduh dan mengunggah file, memodifikasi dan menghapus file yang ada di sistem, mengubah pengaturan sistem, membuat tugas terjadwal untuk persistensi, dll.
Khususnya, APT37 juga mencapai ketekunan melalui Injeksi AppDomainManagerteknik langka yang melibatkan penyuntikan kode berbahaya ke dalam aplikasi .NET.
Semua fungsi dan teknik berbahaya ini mungkin menimbulkan banyak gangguan pada sistem yang ditargetkan, jadi APT37 menggunakan beberapa trik untuk memberikan penyeimbang. Misalnya, ia menerapkan pengatur waktu tidur yang panjang untuk memecah berbagai tahapan rantai serangan, memastikan bahwa aktivitas jahat tidak terjadi secara berurutan.
Seperti yang diungkapkan Peck, “Para pelaku ancaman sangat sabar, lamban, dan metodis. Mereka menggunakan banyak pengatur waktu tidur yang panjang — kita berbicara tentang jeda waktu 6.000 detik di antara tahapan serangan yang berbeda. Dan tujuan utamanya adalah [of the shortcut file] adalah mengatur panggung. Itu sebenarnya tidak mengeksekusi malware apa pun. Itu menjatuhkan file ke lokasi yang memungkinkan mereka untuk mengeksekusi sendiri pada reboot sistem berikutnya. Reboot tersebut bisa dilakukan pada hari yang sama, atau seminggu dari sekarang, tergantung bagaimana pengguna menggunakan PC mereka.”
Mungkin itu adalah simbol dari aktor ancaman yang memiliki kepercayaan diri dan kesabaran. “Sering kali kita melihat jenis kampanye menyelami, menyelami keluar. Namun kampanye ini jelas dirancang dengan mempertimbangkan hal yang sembunyi-sembunyi,” katanya.
_Aleksey_Funtap_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "SSH Keys: Kredensial paling kuat yang mungkin Anda abaikan")
