Nel panorama sempre più complesso della sicurezza informatica, un nuovo attore minaccia la stabilità di aziende e governi nel Sud-est asiatico. Gli hacker nordcoreani, noti per la loro sofisticazione e persistenza, stanno impiegando un nuovo backdoor chiamato VeilShell per eseguire attacchi informatici furtivi. Questo software malevolo è stato scoperto come parte di una campagna denominata SHROUDED#SLEEP, mirata principalmente alla Cambogia, con sospetti di ulteriori obiettivi nella regione. La minaccia è attribuita al gruppo APT37, conosciuto anche sotto vari nomi come InkySquid e ScarCruft. Questo gruppo, attivo dal 2012, è legato al Ministero della Sicurezza di Stato della Corea del Nord e si distingue per la sua capacità di adattarsi e innovare nelle strategie di attacco.

Un elemento chiave delle operazioni di APT37

Un elemento chiave delle operazioni di APT37 è l'utilizzo di RokRAT, un malware potente per il controllo remoto, ma il gruppo ha anche sviluppato strumenti personalizzati per raccogliere dati in modo discreto. Non è ancora chiaro come il primo payload, un archivio ZIP contenente un file di collegamento di Windows (LNK), venga distribuito. Tuttavia, si sospetta che gli attacchi inizino con e-mail di spear-phishing. Una volta eseguito, il file LNK funge da dropper, avviando l'esecuzione di codice PowerShell che decodifica ed estrae componenti successivi. Tra questi, un documento esca innocuo, come un file Excel o PDF, viene aperto automaticamente per distrarre l'utente mentre file malevoli vengono nascosti nel sistema.

Un aspetto distintivo di questa catena di attacco

Un aspetto distintivo di questa catena di attacco è l'uso della tecnica di iniezione AppDomainManager. Questa tecnica permette l'esecuzione di un file DLL malevolo quando un eseguibile legittimo, "d.exe", viene avviato all'accensione del sistema. Questo metodo, simile a quello usato da attori cinesi come Earth Baxia, sta guadagnando popolarità come alternativa al caricamento laterale di DLL. Il file DLL agisce come un loader semplice, recuperando codice JavaScript da un server remoto, che a sua volta ottiene il backdoor VeilShell.

VeilShell

VeilShell, basato su PowerShell, è progettato per contattare un server di comando e controllo (C2) per ricevere istruzioni. Le sue capacità includono la raccolta di informazioni sui file, la compressione e l'invio di archivi ZIP al server C2, il download di file da URL specificati e la gestione di file sul sistema compromesso. Gli attori della minaccia si sono dimostrati pazienti, adottando tempi di inattività prolungati per sfuggire alle rilevazioni tradizionali. Una volta installato, VeilShell rimane inattivo fino al successivo riavvio del sistema, rendendo difficile la sua rilevazione immediata.