Table of Contents
A Ameaça de APT37 e a Campanha “Shrouded#Sleep”
A ação de atores de ameaças patrocinados pelo estado norte-coreano, conhecida como APT37, tem se intensificado com a disseminação de um novo backdoor, denominado VeilShell. Este fenômeno é particularmente notável devido ao grupo direcionar seus esforços para uma nação com a qual Kim Jong-Un possui relações complexas: o Camboja. Tradicionalmente, os APTs da Coreia do Norte focaram suas campanhas em organizações da Coreia do Sul ou Japão, mas essa mudança de alvo merece análise aprofundada.
A Relação entre Coreia do Norte e Camboja
Embora Pyongyang ainda mantenha uma embaixada em Phnom Penh e ambos os países compartilhem uma história de laços soviéticos na região, a relação atual é distante. O programa nuclear da RPDC, os testes de mísseis, as atividades cibernéticas e a agressão geral contra vizinhos contrariam a postura do Camboja em relação a armas de destruição em massa (WMDs) e sua busca por um diálogo diplomático significativo, como observadores da região notaram.
A Campanha Shrouded#Sleep
Questões de desconfiança entre os dois países atraíram a atenção do regime norte-coreano. Segundo a Securonix, uma campanha chamada Shrouded#Sleep tem circulado contra organizações cambojanas. Embora a Securonix não tenha compartilhado detalhes sobre as vítimas, o APT37, também conhecido como InkSquid, RedEyes, BadRAT, Reaper, ScarCruft e Ricochet Chollima, tem utilizado e-mails maliciosos relacionados a assuntos cambojanos, enviados na língua primária do Camboja, o Khmer.
“Para engajar seus alvos, o grupo oferece acesso a uma planilha relacionada à renda anual em dólares americanos em vários setores do país, como assistência social, educação, saúde e agricultura.”
Esses e-mails contêm arquivos de atalho maliciosamente elaborados, que escondem o backdoor e são utilizados para estabelecer uma persistência discreta nas redes visadas.
Atalhos Discretos do Shrouded#Sleep
O processo de infecção pela campanha Shrouded#Sleep começa com um arquivo .ZIP que contém um arquivo de atalho do Windows (.LNK). Tim Peck, pesquisador sênior da Securonix, comenta:
“É incrivelmente comum – se você jogasse um dardo em um alvo de atores de ameaça, um arquivo de atalho provavelmente seria atingido. É fácil, é eficaz e se encaixa bem com e-mails de phishing.”
Os arquivos .LNK têm suas extensões ocultas por padrão no Windows, ficando com um ícone de seta no canto inferior esquerdo, o que limpa a interface do usuário. Assim, os atacantes como o APT37 podem mudar o ícone padrão do atalho e usar extensões duplas para ocultar a verdadeira natureza do arquivo. Esses arquivos de atalho são apresentados com ícones de PDF e Excel e têm extensões como “.pdf.lnk” ou “.xls.lnk”, de modo que os usuários vejam apenas as partes .PDF e .XLS.
“A menos que você esteja prestando atenção na pequena seta que a Microsoft adiciona aos arquivos de atalho, é provável que você não perceba.”
Esses arquivos maliciosos, que variam de 60 a 600 kilobytes, contêm o VeilShell, a carga maliciosa do APT37.
A Persistência Paciente do VeilShell
A campanha SHROUDED#SLEEP é notável por sua combinação avançada de ferramentas próprias e uso de técnicas furtivas e persistentes. Segundo a análise da Securonix:
“Representa uma operação sofisticada e furtiva que visa o Sudeste Asiático, aproveitando múltiplas camadas de execução, mecanismos de persistência e um backdoor RAT baseado em PowerShell para alcançar controle de longo prazo sobre sistemas comprometidos.”
O VeilShell, por exemplo, é um backdoor multifuncional baseado em PowerShell, capaz de realizar diversas ações típicas de RATs, incluindo download e upload de arquivos, modificação e exclusão de arquivos existentes, ajuste de configurações do sistema e criação de tarefas agendadas para persistência.
O APT37 também assegura persistência através da injeção AppDomainManager, uma técnica rara que envolve a injeção de código malicioso em aplicações .NET. Para evitar que suas atividades maliciosas sejam facilmente detectadas, o grupo utiliza truques, como temporizadores longos entre diferentes estágios da cadeia de ataque, prevenindo que as atividades maliciosas ocorram em sucessão óbvia.
“Os agentes de ameaça foram incrivelmente pacientes, lentos e metódicos. Eles usaram muitos temporizadores longos — estamos falando de 6 mil segundos entre diferentes estágios de ataque.”
Essa operação metódica indica um grupo com confiança e paciência para executar uma campanha projetada para ser furtiva e menos evidente.
#APT37 #Cibersegurança #CoreiaDoNorte #Camboja #ShroudedSleep #VeilShell #AtaquesCibernéticos
autor ref: Nate Nelson, Contributing Writer
ref:https://www.darkreading.com/cyberattacks-data-breaches/dprk-apt37-cambodia-khmer-veilshell-backdoor