Nordkoreanske hackere bruker ny VeilShell-malware i hemmelige cyberangrep
Eksperter på nettsikkerhet har nylig avdekket en ny skadelig programvare kalt VeilShell som brukes av hackere knyttet til Nord-Korea. Disse hackerne har i det stille angrepet land i Sørøst-Asia, spesifikt rettet mot steder som Kambodsja. Hackergruppen bak dette, kjent som APT37 (også kalt InkySquid eller Reaper), har vært aktiv i over et tiår og antas å være knyttet til Nord-Koreas departement for statssikkerhet.
Table of Contents
Hva skjer?
I denne siste runden med angrep la eksperter merke til noe nytt: VeilShell-bakdøren. Dette er en type fjerntilgangstrojaner (RAT), som er en fancy måte å si at når den først infiserer en datamaskin, kan hackerne kontrollere den fra hvor som helst. De kan stjele filer, lage nye oppgaver og til og med spionere på det som skjer på datamaskinen.
Problemet starter når en intetanende person åpner en phishing-e-post. Disse e-postene kan se normale ut, men de inneholder en skjult ZIP-fil med en farlig Windows-snarvei (LNK). Når filen er åpnet, kjører den et skript som stille installerer skadelig programvare, og viser ofte brukeren et ufarlig dokument, som en PDF- eller Excel-fil, for å unngå mistanke.
Hvordan VeilShell fungerer
Hackerne designet VeilShell for å være sleipe. Den bruker en teknikk kalt AppDomainManager injection, som i utgangspunktet lurer datamaskinen til å kjøre dårlig kode uten at noen legger merke til det. Denne metoden blir mer populær blant hackere fordi den lar dem holde seg under radaren.
Når skadelig programvare er i systemet, kobles den til en kommando-og-kontroll-server – en ekstern datamaskin kontrollert av hackerne. Denne serveren gir instruksjoner til den infiserte maskinen, slik at hackerne kan stjele informasjon, flytte filer rundt og slette ting uten å bli oppdaget.
Det som er spesielt urovekkende er at VeilShell ikke starter angrepet umiddelbart. I stedet venter den til den infiserte datamaskinen startes på nytt, noe som betyr at brukeren kanskje ikke legger merke til noe galt på en stund. Denne forsinkelsen gjør det vanskeligere for sikkerhetsprogramvare å oppdage skadelig programvare i tide.
Hvorfor dette betyr noe
Dette er ikke første gang nordkoreanske hackere har satt i gang cyberangrep. Grupper som Lazarus og Kimsuky har vært involvert i lignende aktiviteter. Disse statsstøttede hackerne er kjent for å sikte mot myndigheter, bedrifter og organisasjoner, ofte med mål om å stjele verdifull informasjon eller forårsake økonomisk skade.
I en relatert hendelse angrep en annen nordkoreansk hackergruppe kalt Andariel tre forskjellige organisasjoner i USA i august 2024. Disse angrepene viser at ingen land er trygge for cybertrusler.
Hvordan beskytte deg selv
Så, hva kan du gjøre for å unngå å bli et offer for angrep som dette? Her er noen enkle trinn:
- Ikke åpne mistenkelige e-poster: Hvis du får en e-post fra noen du ikke kjenner eller med et vedlegg du ikke hadde forventet, er det bedre å ignorere det.
- Hold programvaren oppdatert: Hackere retter seg ofte mot systemer som ikke har blitt oppdatert. Regelmessige oppdateringer kan fikse sikkerhetshull som hackere kan prøve å utnytte.
- Bruk antivirusprogrammer: Å ha installert antivirusprogramvare kan bidra til å oppdage og stoppe skadelig programvare før den forårsaker skade.
- Aktiver tofaktorautentisering (2FA): Dette legger til et ekstra lag med beskyttelse til nettkontoene dine. Selv om en hacker får passordet ditt, gjør 2FA det vanskeligere for dem å få tilgang til kontoene dine.
Cyberangrep som de som involverer VeilShell viser hvor kreative hackere blir. De finner stadig nye måter å snike seg inn i systemer uten å bli lagt merke til, noe som gjør det viktigere enn noen gang å være årvåken. Ved å følge grunnleggende sikkerhetspraksis og være oppmerksomme på phishing-e-poster, kan vi alle redusere risikoen for å bli ofre for denne typen cybertrusler.
Enkelt sagt, hackere blir smartere, men det kan vi også. Ved å være informert og forsiktig, kan vi beskytte oss mot deres stadig utviklende triks.
