خانه » سوء استفاده هکرهای کره شمالی از بکدور VeilShell در حملات جاسوسی سایبری!

سوء استفاده هکرهای کره شمالی از بکدور VeilShell در حملات جاسوسی سایبری!

توسط Vulnerbyte
19 بازدید
vulnerbyte - هکرهای کره شمالی - VeilShell - بکدور - SHROUDED#SLEEP

هکرهای کره شمالی، کشور کامبوج و احتمالاً سایر کشورهای جنوب شرق آسیا را توسط یک بکدور و تروجان دسترسی از راه دور (RAT) جدید به نام VeilShell، مورد هدف قرار داده‌اند.

تیم تحقیقاتی Securonix، این حملاتِ در حال انجام را کشف و SHROUDED#SLEEP نامگذاری کرده است و آن را به گروه APT37 کره شمالی نسبت داده است. APT37 با نام‌های InkySquid، Reaper، RedEyes، Ricochet Chollima، Ruby Sleet و ScarCruft نیز شناخته می‌شود.

به نظر میرسد که این گروه (APT37)، بدافزارهای مخفی را به اهدافی در سراسر کشورهای جنوب شرق آسیا ارسال می‌کند. APT37 از سال 2012 فعال می‌باشد و ارزیابی می‌شود که بخشی از وزارت امنیت دولت کره شمالی (MSS) است. این اولین بار نیست که کره شمالی این منطقه خاص را مورد هدف قرار می‌دهد.

 

زنجیره نفوذ حملات SHROUDED#SLEEP و پیاده سازی بکدور VeilShell

قربانیان احتمالاً توسط ایمیل‌های فیشینگ هدفمند حاوی پیلود اولیه که یک فایل zip  می‌باشد، آلوده شده‌اند. هکرها در این زنجیره نفوذ نسبتا طولانی از یک بکدور PowerShell سفارشی با طیف گسترده‌ای از قابلیت‌های RAT  (تروجان دسترسی از راه دور) سوء استفاده کرده‌اند.

تیم Securonix به دلیل روش اجرا و قابلیت‌های مخفیانه این بکدور، آن را VeilShell نامیده است. این بکدور به هکرها اجازه دسترسی کامل به ماشین‌های آلوده به بدافزار را می‌دهد. برخی از ویژگی‌های بکدور VeilShell عبارتند از استخراج داده، رجیستری و ایجاد یا دستکاری تسک‌های زمان بندی شده.

vulnerbyte - هکرهای کره شمالی - VeilShell - بکدور - SHROUDED#SLEEP
زنجیره نفوذ حملات SHROUDED#SLEEP

آرشیو ZIP مذکور، حاوی یک فایل شورتکات ویندوزی (LNK) است. فایل‌های شورتکات از تکنیک‌های پسوند دوگانه استفاده می‌کنند که به pdf.lnk. یا xlsx.lnk . ختم می‌شوند. پسوند lnk. در ویندوز، همیشه از دید کاربر پنهان می‌ماند و باعث میشود فکر کند که در حال باز کردن یک صفحه گسترده (spreadsheet ) و یا سند PDF واقعی است. هکرها همچنین آیکون شورتکات را تغییر دادند تا با پسوند مطابقت داشته باشد و فایل شورتکات را مطابق شکل زیر قانونی‌تر جلوه دهند:

vulnerbyte - هکرهای کره شمالی - بکدور - SHROUDED#SLEEP
شورتکات فایل طعمه NGO Income_edit.xlsx.lnk

فایل شورتکات مستقیماً به فرآیند PowerShell متصل می‌شود و یک سری دستورات پیچیده را اجرا می‌کند. نمونه‌ای از دستور را می‌توانید در تصویر زیر مشاهده کنید.

vulnerbyte - هکرهای کره شمالی - VeilShell - بکدور - SHROUDED#SLEEP
جزئیات فایل شورتکات - گزارش NGO Income_edit.xlsx.lnk

به طور معمول، فایل‌های شورتکات بسیار سبک و کم حجم هستند و اغلب فقط چند کیلوبایت می‌باشند. با این حال، تیم Securonix در مورد حملات SHROUDED#SLEEP، فایل‌های شورتکات با اندازه 60 تا 600 کیلوبایت را مشاهده کرده است.

این اندازهء افزایش یافته به این دلیل است که فایل، به عنوان بدافزار dropper  (نصب کننده بدافزار) عمل می‌کند و پیلودهای مرحله بعدی به انتهای فایل اضافه می‌شوند.

دستورات PowerShell تعبیه شده در فایل شورتکات در درجه اول برای رمزگشایی و استخراج این پیلودها از درون خود فایل شورتکات در نظر گرفته شده‌اند. این تاکتیک بسیار شبیه به چیزی است که در حملات DEEP#GOSU، منتسب به کره شمالی نیز مشاهده شده است.

سه پیلود در مجموع، بر اساس یک محدوده بایت از پیش تعریف شده استخراج می‌شود که از بایت 2903 آغاز شده و در مجموع 64744 بایت را می‌خوانند (به بایت 67647 ختم می‌شود). هر فایل توسط Base64 رمزگذاری می‌گردد و با یک دونقطه (:) از هم جدا می‌شوند، که به عنوان یک جداکننده عمل می‌کند تا نشان دهد که یک پیلود به پایان رسیده و پیلود بعدی آغاز شده است.

سه فایل استخراج شده شامل یک سند طعمه (e.xlsx)، یک فایل پیکربندی (d.exe.config) و یک DLL مخرب (DomainManager.dll) به دایرکتوری Startup  ویندوز برای ایجاد تداوم دسترسی می‌باشند. هر فایل شورتکات حاوی یک سند طعمه (یک فایل اکسل در یک مورد و در یک مورد دیگر یک PDF) می‌باشد که برای پرت کردن حواس کاربر در حالی که بدافزار در پس‌زمینه مستقر شده است، در نظر گرفته شده‌ است.

همچنین یک فایل اجرایی قانونی به نام “dfsvc.exe” در همان پوشه کپی می‌شود که با فناوری ClickOnce در فریمورک .NET مایکروسافت مرتبط است. فایل به صورت “d.exe” کپی می‌شود.  

اسناد طعمه در انتهای اسکریپت PowerShell با فراخوانی فرآیند explorer.exe اجرا می‌شوند، تکنیکی هوشمندانه برای اطمینان از باز شدن سند با برنامه پیش‌فرض سیستم بر اساس پسوند فایل آنها.

 

تداوم دسترسی در اجرا

حملات SHROUDED#SLEEP از یک تکنیک نسبتا مبهم به نام AppDomainManager injection برای اجرای DomainManager.dll و حفظ تداوم دسترسی با تزریق کدهای مخرب به برنامه‌های .NET استفاده می‌کنند.

این تکنیک از کلاس AppDomainManager سوء استفاده می‌کند و به هکرها اجازه می‌دهد تا DLL مخرب خود (DomainManager.dll) را در اوایل اجرای برنامه بارگیری کنند.

این تکنیک بر ای زمانی است که “d.exe” راه اندازی می‌شود و باینری فایل “d.exe.config” را که در همان پوشه startup  قرار دارد، می‌خواند. سپس اجرای کد به DLL مخرب هدایت می‌شود و کد موجود در DLL را قادر می‌سازد تا پیش از اجرای فرآیند قانونی اجرا شود.

vulnerbyte - هکرهای کره شمالی - بکدور - SHROUDED#SLEEP
محتویات d.exe.config

با استفاده از شکل بالا، می‌توانیم بهتر بفهمیم که d.exe چگونه کدهای مخرب را از داخل DomainManager.dll اجرا می‌کند. فیلدهای appDomainManagerType و appDomainManagerAssembly در فایل config.، کلاس AppDomainManager سفارشی (InjectedDomainManager) و اسمبلی (DomainManager.dll) را مشخص می‌کنند.

فایل DLL، به نوبه خود، مانند یک لودر ساده برای بازیابی کد جاوا اسکریپت از یک سرور راه دور عمل می‌کند که برای به دست آوردن بکدور VeilShell به سرور دیگری متصل می‌شود.

VeilShell یک بدافزار مبتنی بر PowerShell است که برای تماس با یک سرور فرماندهی و کنترل (C2) طراحی شده است تا منتظر دستورالعمل‌های بیشتر بماند که به آن اجازه می‌دهند اطلاعات مربوط به فایل‌ها را جمع‌آوری کند، یک پوشه خاص را در یک آرشیو ZIP فشرده کرده و آن را دوباره به سرور C2 ارسال کند. بکدور VeilShell همچنین فایل‌ها را از یک URL مشخص دانلود می‌کند، فایل‌ها را تغییر نام داده و حذف می‌کند و آرشیوهای ZIP را استخراج می‌نماید.

کمپین SHROUDED#SLEEP یک عملیات پیچیده و مخفی را نشان می‌دهد که جنوب شرق آسیا را مورد هدف قرار داده است و از لایه‌های متعدد اجرا، مکانیزم‌های تداوم دسترسی و یک RAT بکدور مبتنی بر PowerShell برای دستیابی به کنترل طولانی‌ مدت بر سیستم‌های هک شده استفاده می‌کند.

گزارش Securonix یک روز پس از آن منتشر شد که Symantec فاش کرد که هکرهای کره شمالی در آگوست 2024 طی یک حمله سایبری با انگیزه مالی، سه سازمان مختلف را در ایالات متحده مورد هدف قرار داده‌اند. گزارش کامل این حمله را می‌توانید از اینجا بخوانید.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید