Nordkoreanske hackere bruger ny VeilShell-malware i hemmelige cyberangreb
Cybersikkerhedseksperter har for nylig afsløret en ny malware kaldet VeilShell, der bliver brugt af hackere med tilknytning til Nordkorea. Disse hackere har stille og roligt angrebet lande i Sydøstasien, specifikt rettet mod steder som Cambodja. Hackinggruppen bag dette, kendt som APT37 (også kaldet InkySquid eller Reaper), har været aktiv i over et årti og menes at være forbundet med Nordkoreas ministerium for statssikkerhed.
Table of Contents
Hvad sker der?
I denne seneste runde af angreb bemærkede eksperter noget nyt: VeilShell-bagdøren. Dette er en type fjernadgangstrojaner (RAT), som er en smart måde at sige, at når den først inficerer en computer, kan hackerne kontrollere den hvor som helst. De kan stjæle filer, oprette nye opgaver og endda spionere på, hvad der sker på computeren.
Problemet starter, når en intetanende person åbner en phishing-e-mail. Disse e-mails ser måske normale ud, men de indeholder en skjult ZIP-fil med en farlig Windows-genvejsfil (LNK). Når først filen er åbnet, kører den et script, der stille og roligt installerer malwaren, og ofte viser brugeren et harmløst dokument, som en PDF- eller Excel-fil, for at undgå mistanke.
Hvordan VeilShell virker
Hackerne designet VeilShell til at være lusket. Den bruger en teknik kaldet AppDomainManager injection, som dybest set narrer computeren til at køre dårlig kode, uden at nogen opdager det. Denne metode bliver mere populær blandt hackere, fordi den giver dem mulighed for at holde sig under radaren.
Når først malwaren er i systemet, opretter den forbindelse til en kommando-og-kontrol-server - en fjerncomputer, der styres af hackerne. Denne server giver instruktioner til den inficerede maskine, så hackerne kan stjæle information, flytte rundt på filer og slette ting uden at blive opdaget.
Det, der især er bekymrende, er, at VeilShell ikke starter sit angreb med det samme. I stedet venter den, indtil den inficerede computer genstartes, hvilket betyder, at brugeren måske ikke bemærker noget galt i et stykke tid. Denne forsinkelse gør det sværere for sikkerhedssoftware at opdage malwaren i tide.
Hvorfor dette betyder noget
Det er ikke første gang, at nordkoreanske hackere har lanceret cyberangreb. Grupper som Lazarus og Kimsuky har været involveret i lignende aktiviteter. Disse statsstøttede hackere er kendt for at målrette mod regeringer, virksomheder og organisationer, ofte med det mål at stjæle værdifuld information eller forårsage økonomisk skade.
I en relateret hændelse angreb en anden nordkoreansk hackergruppe kaldet Andariel tre forskellige organisationer i USA i august 2024. Disse angreb viser, at intet land er sikkert mod cybertrusler.
Sådan beskytter du dig selv
Så hvad kan du gøre for at undgå at blive offer for angreb som dette? Her er nogle enkle trin:
- Åbn ikke mistænkelige e-mails: Hvis du får en e-mail fra en, du ikke kender, eller med en vedhæftet fil, du ikke havde forventet, er det bedre at ignorere den.
- Hold din software opdateret: Hackere målretter ofte mod systemer, der ikke er blevet opdateret. Regelmæssige opdateringer kan rette sikkerhedshuller, som hackere måske forsøger at udnytte.
- Brug antivirusprogrammer: At have antivirussoftware installeret kan hjælpe med at opdage og stoppe malware, før det forårsager skade.
- Aktiver tofaktorautentificering (2FA): Dette tilføjer et ekstra lag af beskyttelse til dine onlinekonti. Selvom en hacker får din adgangskode, gør 2FA det sværere for dem at få adgang til dine konti.
Cyberangreb som dem, der involverer VeilShell, viser, hvor kreative hackere bliver. De finder konstant på nye måder at snige sig ind i systemer uden at blive bemærket, hvilket gør det vigtigere end nogensinde før at være på vagt. Ved at følge grundlæggende sikkerhedspraksis og være opmærksomme på phishing-e-mails kan vi alle reducere risikoen for at blive ofre for denne slags cybertrusler.
Kort sagt bliver hackere klogere, men det kan vi også. Ved at forblive informeret og forsigtige kan vi beskytte os selv mod deres konstant udviklende tricks.
