Šiaurės Korėjos įsilaužėliai slaptose kibernetinėse atakose naudoja naują „VeilShell“ kenkėjišką programą
Kibernetinio saugumo ekspertai neseniai atskleidė naują kenkėjišką programą „VeilShell“, kurią naudoja su Šiaurės Korėja susiję įsilaužėliai. Šie įsilaužėliai tyliai atakavo Pietryčių Azijos šalis , ypač taikydami tokias vietas kaip Kambodža. Įsilaužimų grupė, žinoma kaip APT37 (taip pat vadinama InkySquid arba Reaper), veikia daugiau nei dešimtmetį ir manoma, kad ji yra susijusi su Šiaurės Korėjos valstybės saugumo ministerija.
Table of Contents
Kas vyksta?
Šiame paskutiniame atakų etape ekspertai pastebėjo kažką naujo: „VeilShell“ užpakalines duris. Tai nuotolinės prieigos Trojos arklys (RAT), kuris yra puikus būdas pasakyti, kad užkrėsti kompiuterį įsilaužėliai gali jį valdyti iš bet kurios vietos. Jie gali pavogti failus, kurti naujas užduotis ir net šnipinėti, kas vyksta kompiuteryje.
Problema prasideda tada, kai nieko neįtariantis asmuo atidaro sukčiavimo el. laišką. Šie el. laiškai gali atrodyti įprastai, tačiau juose yra paslėptas ZIP failas su pavojingu „Windows“ nuorodų (LNK) failu. Kai failas atidaromas, jis paleidžia scenarijų, kuris tyliai įdiegia kenkėjišką programą, dažnai rodydamas vartotojui nekenksmingą dokumentą, pvz., PDF arba Excel failą, kad nekiltų įtarimų.
Kaip veikia VeilShell
Piratai sukūrė „VeilShell“, kad būtų slaptas. Jame naudojama technika, vadinama AppDomainManager injekcija, kuri iš esmės apgaudinėja kompiuterį, kad niekam nepastebėjus būtų paleistas blogas kodas. Šis metodas tampa vis populiaresnis tarp įsilaužėlių, nes leidžia jiems likti po radaru.
Kai kenkėjiška programa patenka į sistemą, ji prisijungia prie komandų ir valdymo serverio – nuotolinio kompiuterio, kurį valdo įsilaužėliai. Šis serveris duoda instrukcijas užkrėstam įrenginiui, leisdamas įsilaužėliams pavogti informaciją, perkelti failus ir ištrinti daiktus neaptiktiems.
Ypač nerimą kelia tai, kad „VeilShell“ ataką pradeda ne iš karto. Vietoj to, jis laukia, kol užkrėstas kompiuteris bus paleistas iš naujo, o tai reiškia, kad vartotojas kurį laiką gali nepastebėti nieko blogo. Dėl šio delsimo saugos programinei įrangai sunkiau laiku aptikti kenkėjišką programą.
Kodėl tai svarbu
Tai ne pirmas kartas, kai Šiaurės Korėjos įsilaužėliai imasi kibernetinių atakų. Tokios grupės kaip Lazarus ir Kimsuky dalyvavo panašioje veikloje. Šie valstybės remiami įsilaužėliai žinomi kaip nusitaikę į vyriausybes, įmones ir organizacijas, dažnai siekdami pavogti vertingos informacijos arba padaryti finansinės žalos.
Per susijusį incidentą kita Šiaurės Korėjos programišių grupė „Andariel“ 2024 m. rugpjūčio mėn. užpuolė tris skirtingas organizacijas JAV. Šios atakos rodo, kad nė viena šalis nėra apsaugota nuo kibernetinių grėsmių.
Kaip apsisaugoti
Taigi, ką daryti, kad netaptumėte tokių išpuolių auka? Štai keli paprasti žingsniai:
- Neatidarykite įtartinų el. laiškų: jei gaunate el. laišką iš nepažįstamo asmens arba su priedu, kurio nesitikėjote, geriau į jį nekreipti dėmesio.
- Atnaujinkite savo programinę įrangą: įsilaužėliai dažnai taikosi į sistemas, kurios nebuvo atnaujintos. Reguliarūs naujinimai gali ištaisyti saugos spragas, kurias įsilaužėliai gali bandyti išnaudoti.
- Naudokite antivirusines programas: įdiegę antivirusinę programinę įrangą galite aptikti ir sustabdyti kenkėjiškas programas, kol jos nepadarys žalos.
- Įgalinti dviejų veiksnių autentifikavimą (2FA): tai prideda papildomą jūsų internetinių paskyrų apsaugos lygį. Net jei įsilaužėlis gauna jūsų slaptažodį, 2FA apsunkina prieigą prie jūsų paskyrų.
Kibernetinės atakos, tokios kaip su „VeilShell“, parodo, kokie kūrybingi tampa įsilaužėliai. Jie nuolat randa naujų būdų, kaip patekti į sistemas nepastebėti, todėl kaip niekad svarbu išlikti budriems. Laikydamiesi pagrindinės saugos praktikos ir žinodami apie sukčiavimo el. laiškus, visi galime sumažinti riziką tapti tokių kibernetinių grėsmių aukomis.
Paprastais žodžiais tariant, įsilaužėliai tampa protingesni, bet galime ir mes. Būdami informuoti ir atsargūs, galime apsisaugoti nuo nuolat besikeičiančių jų gudrybių.
