Βορειοκορεάτες χάκερ χρησιμοποιούν νέο κακόβουλο λογισμικό VeilShell σε μυστικές επιθέσεις στον κυβερνοχώρο

Ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν πρόσφατα ένα νέο κακόβουλο λογισμικό που ονομάζεται VeilShell το οποίο χρησιμοποιείται από χάκερ που συνδέονται με τη Βόρεια Κορέα. Αυτοί οι χάκερ επιτίθενται αθόρυβα σε χώρες της Νοτιοανατολικής Ασίας, στοχεύοντας συγκεκριμένα μέρη όπως η Καμπότζη. Η ομάδα hacking πίσω από αυτό, γνωστή ως APT37 (ονομάζεται επίσης InkySquid ή Reaper), δραστηριοποιείται για πάνω από μια δεκαετία και θεωρείται ότι συνδέεται με το Υπουργείο Κρατικής Ασφάλειας της Βόρειας Κορέας.

Τι συμβαίνει;

Σε αυτόν τον τελευταίο γύρο επιθέσεων, οι ειδικοί παρατήρησαν κάτι νέο: την κερκόπορτα VeilShell. Αυτός είναι ένας τύπος trojan απομακρυσμένης πρόσβασης (RAT), ο οποίος είναι ένας φανταχτερός τρόπος να πούμε ότι μόλις μολύνει έναν υπολογιστή, οι χάκερ μπορούν να τον ελέγχουν από οπουδήποτε. Μπορούν να κλέψουν αρχεία, να δημιουργήσουν νέες εργασίες, ακόμη και να κατασκοπεύσουν ό,τι συμβαίνει στον υπολογιστή.

Το πρόβλημα ξεκινά όταν ένα ανυποψίαστο άτομο ανοίγει ένα email ηλεκτρονικού ψαρέματος. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να φαίνονται φυσιολογικά, αλλά περιέχουν ένα κρυφό αρχείο ZIP με ένα επικίνδυνο αρχείο συντόμευσης των Windows (LNK). Μόλις ανοίξει το αρχείο, εκτελεί ένα σενάριο που εγκαθιστά αθόρυβα το κακόβουλο λογισμικό, δείχνοντας συχνά στον χρήστη ένα αβλαβές έγγραφο, όπως ένα αρχείο PDF ή Excel, για να αποφύγει την υποψία.

Πώς λειτουργεί το VeilShell

Οι χάκερ σχεδίασαν το VeilShell για να είναι ύπουλο. Χρησιμοποιεί μια τεχνική που ονομάζεται AppDomainManager injection, η οποία βασικά εξαπατά τον υπολογιστή να εκτελεί κακό κώδικα χωρίς να το αντιληφθεί κανείς. Αυτή η μέθοδος γίνεται όλο και πιο δημοφιλής μεταξύ των χάκερ, επειδή τους επιτρέπει να παραμένουν κάτω από το ραντάρ.

Μόλις το κακόβουλο λογισμικό εισέλθει στο σύστημα, συνδέεται με έναν διακομιστή εντολών και ελέγχου — έναν απομακρυσμένο υπολογιστή που ελέγχεται από τους χάκερ. Αυτός ο διακομιστής δίνει οδηγίες στο μολυσμένο μηχάνημα, επιτρέποντας στους χάκερ να κλέψουν πληροφορίες, να μετακινήσουν αρχεία και να διαγράψουν πράγματα χωρίς να εντοπιστούν.

Αυτό που είναι ιδιαίτερα ανησυχητικό είναι ότι το VeilShell δεν ξεκινά αμέσως την επίθεσή του. Αντίθετα, περιμένει μέχρι να επανεκκινηθεί ο μολυσμένος υπολογιστής, πράγμα που σημαίνει ότι ο χρήστης μπορεί να μην παρατηρήσει κάτι λάθος για λίγο. Αυτή η καθυστέρηση καθιστά πιο δύσκολο για το λογισμικό ασφαλείας τον έγκαιρο εντοπισμό του κακόβουλου λογισμικού.

Γιατί αυτό έχει σημασία

Δεν είναι η πρώτη φορά που Βορειοκορεάτες χάκερ εξαπολύουν κυβερνοεπιθέσεις. Ομάδες όπως ο Lazarus και ο Kimsuky έχουν εμπλακεί σε παρόμοιες δραστηριότητες. Αυτοί οι υποστηριζόμενοι από το κράτος χάκερ είναι γνωστοί ότι στοχεύουν κυβερνήσεις, επιχειρήσεις και οργανισμούς, συχνά με στόχο την κλοπή πολύτιμων πληροφοριών ή την πρόκληση οικονομικής ζημιάς.

Σε ένα σχετικό περιστατικό, μια άλλη βορειοκορεατική ομάδα χάκερ που ονομάζεται Andariel επιτέθηκε σε τρεις διαφορετικούς οργανισμούς στις ΗΠΑ τον Αύγουστο του 2024. Αυτές οι επιθέσεις δείχνουν ότι καμία χώρα δεν είναι ασφαλής από απειλές στον κυβερνοχώρο.

Πώς να προστατεύσετε τον εαυτό σας

Λοιπόν, τι μπορείτε να κάνετε για να αποφύγετε να γίνετε θύμα επιθέσεων όπως αυτή; Εδώ είναι μερικά απλά βήματα:

1. Μην ανοίγετε ύποπτα email: Εάν λάβετε ένα email από κάποιον που δεν γνωρίζετε ή με ένα συνημμένο που δεν περιμένατε, είναι καλύτερα να το αγνοήσετε.
2. Διατηρήστε το λογισμικό σας ενημερωμένο: Οι χάκερ συχνά στοχεύουν συστήματα που δεν έχουν ενημερωθεί. Οι τακτικές ενημερώσεις μπορούν να διορθώσουν κενά ασφαλείας που ενδέχεται να προσπαθήσουν να εκμεταλλευτούν οι χάκερ.
3. Χρήση προγραμμάτων προστασίας από ιούς: Η εγκατάσταση λογισμικού προστασίας από ιούς μπορεί να βοηθήσει στον εντοπισμό και τη διακοπή του κακόβουλου λογισμικού προτού προκαλέσει βλάβη.
4. Ενεργοποίηση ελέγχου ταυτότητας δύο παραγόντων (2FA): Αυτό προσθέτει ένα επιπλέον επίπεδο προστασίας στους διαδικτυακούς λογαριασμούς σας. Ακόμα κι αν ένας χάκερ λάβει τον κωδικό πρόσβασής σας, το 2FA καθιστά πιο δύσκολη την πρόσβαση στους λογαριασμούς σας.

Οι κυβερνοεπιθέσεις όπως αυτές που αφορούν το VeilShell δείχνουν πόσο δημιουργικοί γίνονται οι χάκερ. Βρίσκουν συνεχώς νέους τρόπους για να εισχωρούν κρυφά στα συστήματα χωρίς να γίνονται αντιληπτοί, γεγονός που καθιστά πιο σημαντικό από ποτέ να παραμείνουν σε εγρήγορση. Ακολουθώντας βασικές πρακτικές ασφαλείας και έχοντας επίγνωση των email ηλεκτρονικού ψαρέματος, μπορούμε όλοι να μειώσουμε τον κίνδυνο να πέσουμε θύματα αυτού του είδους των απειλών στον κυβερνοχώρο.

Με απλά λόγια, οι χάκερ γίνονται εξυπνότεροι, αλλά το ίδιο μπορούμε και εμείς. Παραμένοντας ενημερωμένοι και προσεκτικοί, μπορούμε να προστατευτούμε από τα συνεχώς εξελισσόμενα κόλπα τους.