Северокорейские хакеры используют новое вредоносное ПО VeilShell в секретных кибератаках

Эксперты по кибербезопасности недавно обнаружили новую вредоносную программу VeilShell, которую используют хакеры, связанные с Северной Кореей. Эти хакеры тайно атакуют страны Юго-Восточной Азии, в частности, такие места, как Камбоджа. Хакерская группа, стоящая за этим, известная как APT37 (также называемая InkySquid или Reaper), действует уже более десяти лет и, как полагают, связана с Министерством государственной безопасности Северной Кореи.

Что происходит?

В этом последнем раунде атак эксперты заметили нечто новое: бэкдор VeilShell. Это тип трояна удаленного доступа (RAT), который является замысловатым способом сказать, что после заражения компьютера хакеры могут управлять им откуда угодно. Они могут красть файлы, создавать новые задачи и даже шпионить за тем, что происходит на компьютере.

Проблема начинается, когда ничего не подозревающий человек открывает фишинговое письмо. Эти письма могут выглядеть нормально, но они содержат скрытый ZIP-файл с опасным файлом ярлыка Windows (LNK). После открытия файла он запускает скрипт, который незаметно устанавливает вредоносное ПО, часто показывая пользователю безобидный документ, например, файл PDF или Excel, чтобы избежать подозрений.

Как работает VeilShell

Хакеры разработали VeilShell, чтобы быть скрытным. Он использует технику, называемую инъекцией AppDomainManager, которая по сути обманывает компьютер, заставляя его выполнять плохой код, и никто этого не замечает. Этот метод становится все более популярным среди хакеров, поскольку он позволяет им оставаться незамеченными.

Как только вредоносное ПО попадает в систему, оно подключается к командно-контрольному серверу — удаленному компьютеру, контролируемому хакерами. Этот сервер дает инструкции зараженной машине, позволяя хакерам красть информацию, перемещать файлы и удалять вещи, не будучи обнаруженными.

Особенно тревожно то, что VeilShell не начинает свою атаку немедленно. Вместо этого он ждет, пока зараженный компьютер перезагрузится, то есть пользователь может не заметить ничего странного в течение некоторого времени. Эта задержка затрудняет обнаружение вредоносного ПО программным обеспечением безопасности вовремя.

Почему это важно

Это не первый раз, когда северокорейские хакеры проводят кибератаки. Группы вроде Lazarus и Kimsuky занимаются похожей деятельностью. Эти поддерживаемые государством хакеры известны тем, что нацеливаются на правительства, предприятия и организации, часто с целью кражи ценной информации или причинения финансового ущерба.

В ходе схожего инцидента другая северокорейская хакерская группа под названием Andariel атаковала три различные организации в США в августе 2024 года. Эти атаки показывают, что ни одна страна не застрахована от киберугроз.

Как защитить себя

Итак, что вы можете сделать, чтобы не стать жертвой подобных атак? Вот несколько простых шагов:

1. Не открывайте подозрительные электронные письма: если вы получили электронное письмо от незнакомого человека или с вложением, которое вы не ожидали, лучше проигнорировать его.
2. Обновляйте свое программное обеспечение: хакеры часто атакуют системы, которые не были обновлены. Регулярные обновления могут устранить уязвимости в системе безопасности, которые могут попытаться использовать хакеры.
3. Используйте антивирусные программы: установка антивирусного программного обеспечения может помочь обнаружить и остановить вредоносное ПО до того, как оно причинит вред.
4. Включите двухфакторную аутентификацию (2FA): Это добавляет дополнительный уровень защиты вашим онлайн-аккаунтам. Даже если хакер получит ваш пароль, 2FA усложнит ему доступ к вашим аккаунтам.

Кибератаки, подобные тем, что затронули VeilShell, показывают, насколько изобретательными становятся хакеры. Они постоянно находят новые способы незаметно проникнуть в системы, что делает бдительность более важной, чем когда-либо. Соблюдая основные правила безопасности и осознавая фишинговые письма, мы все можем снизить риск стать жертвой подобных киберугроз.

Проще говоря, хакеры становятся умнее, но и мы тоже можем. Оставаясь информированными и осторожными, мы можем защитить себя от их постоянно меняющихся трюков.