Nordkoreanische Hacker setzen bei heimlichen Angriffen in ganz Südostasien neue VeilShell-Hintertür ein

Eine erschreckende neue Enthüllung besagt, dass nordkoreanische Cyber-Spionagegruppen mithilfe einer neuen Backdoor-Malware namens VeilShell heimliche Cyber-Angriffe in ganz Südostasien durchführen. Sicherheitsexperten haben diese Aktivitäten mit APT37 in Verbindung gebracht, einer berüchtigten Hackergruppe, die unter mehreren Decknamen wie InkySquid, Reaper, RedEyes und ScarCruft operiert. APT37 hat Verbindungen zum nordkoreanischen Ministerium für Staatssicherheit, ist seit 2012 aktiv und berüchtigt für seine ausgeklügelten Cyber-Kampagnen, die auf den Regierungs- und Unternehmenssektor abzielen.

Die SHROUDED#SLEEP Kampagne

Sicherheitsforscher haben diese jüngste Operation SHROUDED#SLEEP getauft, ein treffender Name für die Heimlichkeit und Geduld, die diese Cyberkriminellen an den Tag legen. Man geht davon aus, dass die Gruppe diese Kampagne mit besonderem Fokus auf Kambodscha und andere Länder Südostasiens durchführt. Durch den Einsatz von VeilShell, einem Remote Access Trojaner (RAT) , wollen die Angreifer die vollständige Kontrolle über kompromittierte Maschinen erlangen und Daten exfiltrieren, Systemregister manipulieren und Aufgaben heimlich planen.

Wie funktioniert VeilShell?

Einer der auffälligsten Aspekte dieses Angriffs ist, wie VeilShell in seine Zielsysteme eindringt. Obwohl noch unklar ist, wie die erste Nutzlast übermittelt wird, vermuten Experten, dass die Gruppe Spear-Phishing-E-Mails verwendet – eine sehr gezielte Methode, um Personen dazu zu verleiten, auf bösartige Links zu klicken oder infizierte Dateien herunterzuladen. Die Nutzlast der ersten Stufe wird wahrscheinlich über ein ZIP-Archiv übermittelt, das eine Windows-Verknüpfungsdatei (LNK) enthält.

Sobald der ahnungslose Benutzer die LNK-Datei startet, löst sie eine Abfolge von Aktionen aus. Ein PowerShell-Code – eine in Windows-Umgebungen häufig verwendete Skriptsprache – wird im Hintergrund ausgeführt und extrahiert weitere in der Datei versteckte Komponenten. Um keinen Verdacht zu erregen, lenkt der Angriff den Benutzer mit einem unschuldig aussehenden Dokument ab, beispielsweise einer Microsoft Excel- oder PDF-Datei, während er im Hintergrund die gefährlicheren Malware-Komponenten installiert.

Die eigentliche Bedrohung geht von der DomainManager.dll aus, einer bösartigen Datei, die strategisch im Windows-Startordner platziert wird, wo sie bei jedem Neustart des Systems ausgeführt wird und dort dauerhaft vorhanden bleibt. Diese Datei kommuniziert mit einem Remote-Command-and-Control-Server (C2) und gibt den Angreifern so die Kontrolle über das infizierte Gerät. Von dort aus können sie Dateien ausspionieren, vertrauliche Daten hochladen, weitere bösartige Tools herunterladen und sogar Dateien löschen oder umbenennen, um ihre Spuren zu verwischen.

Die AppDomainManager-Injektion: Eine hinterhältige Technik

Was diesen Angriff von anderen Cyberangriffen unterscheidet, ist der geschickte Einsatz einer Technik namens AppDomainManager-Injection. Das mag zwar kompliziert klingen, aber diese Methode ermöglicht es Angreifern im Wesentlichen, bei jedem Start eines legitimen Programms Schadcode auszuführen, ohne dass Alarm ausgelöst wird. Diese Taktik wurde kürzlich von einer anderen Hackergruppe mit Verbindungen zu China eingesetzt, was darauf hindeutet, dass diese Technik bei Cyberkriminellen weltweit immer beliebter wird.

Das lange Spiel: Wie APT37 der Entdeckung entgeht

Ein Grund, warum diese Kampagne so lange unentdeckt blieb, ist die Geduld der Angreifer. Nachdem sie VeilShell erfolgreich eingesetzt haben, aktivieren sie es nicht sofort. Stattdessen bleibt die Malware inaktiv, bis das System neu gestartet wird. Diese verzögerte Aktivierung, kombiniert mit langen Ruhezeiten (Ausführungspausen), macht es für herkömmliche Sicherheitstools schwieriger, die Malware zu erkennen. Diese Techniken helfen den Hackern, lange Zeit nicht entdeckt zu werden, sodass sie Informationen sammeln und die Kontrolle über die kompromittierten Systeme behalten können.

Auswirkungen und zukünftige Bedrohungen

Diese jüngste Entdeckung verstärkt die wachsende Besorgnis über Nordkoreas Cyber-Fähigkeiten. Gruppen wie APT37, Lazarus und Kimsuky werden alle mit staatlich geförderten Cyber-Angriffen in Verbindung gebracht, die auf Spionage, finanziellen Gewinn und Sabotage abzielten . Durch den zunehmenden Einsatz hochentwickelter Tools wie VeilShell stellen diese Gruppen eine erhebliche Bedrohung für die globale Cybersicherheitslandschaft dar.

Experten warnen, dass sich diese Kampagne leicht über Südostasien hinaus ausbreiten könnte, da nordkoreanische Hackergruppen in der Vergangenheit bereits mehrere Regionen ins Visier genommen haben, darunter die USA und Europa. Tatsächlich startete nur wenige Tage vor der Entdeckung von VeilShell eine andere nordkoreanische Gruppe namens Andariel im Rahmen einer finanziell motivierten Kampagne Angriffe auf US-Organisationen.

Schutz vor VeilShell und ähnlichen Bedrohungen

Für Organisationen und Einzelpersonen wird dadurch deutlich, wie wichtig es ist, wachsam gegenüber Spear-Phishing-Versuchen zu bleiben und sicherzustellen, dass alle Systeme regelmäßig mit den neuesten Sicherheitspatches aktualisiert werden. Hier sind einige Tipps, um das Risiko solcher Angriffe zu verringern:

1. Seien Sie bei unerwarteten E-Mails vorsichtig: Wenn Sie eine E-Mail mit einem unerwarteten Dateianhang oder Link erhalten, überlegen Sie es sich zweimal, bevor Sie darauf klicken.
2. Halten Sie die Software auf dem neuesten Stand: Regelmäßiges Patchen von Betriebssystemen und Anwendungen kann dazu beitragen, Sicherheitslücken zu schließen, die von Angreifern ausgenutzt werden.

Zusammenfassend lässt sich sagen, dass die VeilShell-Malware und die SHROUDED#SLEEP-Kampagne deutliche Hinweise auf die sich ständig weiterentwickelnden Bedrohungen in der Welt der Cybersicherheit sind. Indem sie vorsichtig bleiben und proaktive Sicherheitsmaßnahmen ergreifen, können Einzelpersonen und Unternehmen diesen gefährlichen Akteuren immer einen Schritt voraus sein.