Aktor ancaman yang memiliki hubungan dengan Korea Utara telah terlihat mengirimkan backdoor dan trojan akses jarak jauh (RAT) yang sebelumnya tidak terdokumentasi yang disebut VeilShell sebagai bagian dari kampanye yang menargetkan Kamboja dan kemungkinan negara Asia Tenggara lainnya.
Aktivitas tersebut, yang dijuluki SHROUDED#SLEEP oleh Securonix, diyakini merupakan hasil karya APT37 , yang juga dikenal sebagai InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet, dan ScarCruft.
Aktif setidaknya sejak 2012, kelompok yang saling bermusuhan itu dinilai sebagai bagian dari Kementerian Keamanan Negara (MSS) Korea Utara. Seperti kelompok-kelompok yang berpihak pada negara lain, mereka yang berafiliasi dengan Korea Utara, termasuk Kelompok Lazarus dan Kimsuky, memiliki modus operandi yang berbeda-beda dan kemungkinan memiliki tujuan yang terus berkembang berdasarkan kepentingan negara.
Malware utama dalam kotak peralatannya adalah RokRAT (alias Goldbackdoor), meskipun kelompok tersebut juga telah mengembangkan alat khusus untuk memfasilitasi pengumpulan intelijen rahasia.
Saat ini belum diketahui bagaimana muatan tahap pertama, arsip ZIP yang memuat berkas pintasan Windows (LNK), dikirimkan ke target. Namun, diduga bahwa muatan tersebut kemungkinan melibatkan pengiriman email spear-phishing.
"Trojan backdoor [VeilShell] memungkinkan penyerang mengakses penuh mesin yang disusupi," kata peneliti Den Iuzvyk dan Tim Peck dalam laporan teknis yang dibagikan kepada The Hacker News. "Beberapa fiturnya meliputi eksfiltrasi data, registri, dan pembuatan atau manipulasi tugas terjadwal."
File LNK, setelah diluncurkan, bertindak sebagai dropper yang memicu eksekusi kode PowerShell untuk mendekode dan mengekstrak komponen tahap berikutnya yang tertanam di dalamnya.
Ini termasuk dokumen umpan yang tidak berbahaya, dokumen Microsoft Excel atau PDF, yang terbuka secara otomatis, mengalihkan perhatian pengguna sementara file konfigurasi ("d.exe.config") dan file DLL ("DomainManager.dll") berbahaya ditulis di latar belakang ke folder startup Windows.
File yang dapat dieksekusi bernama "dfsvc.exe" yang terkait dengan teknologi ClickOnce di Microsoft .NET Framework juga disalin ke folder yang sama. File tersebut disalin sebagai "d.exe."
Yang membuat rangkaian serangan ini menonjol adalah penggunaan teknik yang kurang dikenal yang disebut injeksi AppDomainManager untuk mengeksekusi DomainManager.dll saat "d.exe" diluncurkan saat startup dan biner membaca file "d.exe.config" yang menyertainya yang terletak di folder startup yang sama.
Perlu dicatat bahwa pendekatan ini baru-baru ini juga digunakan oleh aktor Earth Baxia yang bersekutu dengan Tiongkok , yang menunjukkan bahwa pendekatan ini perlahan mendapatkan daya tarik di antara para aktor ancaman sebagai alternatif terhadap DLL side-loading.
File DLL, pada bagiannya, berperilaku seperti loader sederhana untuk mengambil kode JavaScript dari server jarak jauh, yang kemudian menjangkau server lain untuk memperoleh pintu belakang VeilShell.
VeilShell adalah malware berbasis PowerShell yang dirancang untuk menghubungi server perintah-dan-kontrol (C2) untuk menunggu instruksi lebih lanjut yang memungkinkannya mengumpulkan informasi tentang file, mengompres folder tertentu ke dalam arsip ZIP dan mengunggahnya kembali ke server C2, mengunduh file dari URL tertentu, mengganti nama dan menghapus file, dan mengekstrak arsip ZIP.
"Secara keseluruhan, pelaku ancaman cukup sabar dan metodis," kata para peneliti. "Setiap tahap serangan memiliki waktu tidur yang sangat lama dalam upaya menghindari deteksi heuristik tradisional. Setelah VeilShell dikerahkan, serangan itu tidak benar-benar dijalankan hingga sistem di-boot ulang berikutnya."
"Kampanye SHROUDED#SLEEP merupakan operasi yang canggih dan rahasia yang menyasar Asia Tenggara dengan memanfaatkan berbagai lapisan eksekusi, mekanisme persistensi, dan backdoor RAT berbasis PowerShell yang serbaguna untuk mencapai kontrol jangka panjang atas sistem yang disusupi."
Laporan Securonix muncul sehari setelah Symantec milik Broadcom mengungkapkan bahwa aktor ancaman Korea Utara yang dilacak seperti Andariel menargetkan tiga organisasi berbeda di AS pada bulan Agustus 2024 sebagai bagian dari kampanye bermotif finansial.
0 Comments