Er is waargenomen dat bedreigingsactoren met banden met Noord-Korea een voorheen ongedocumenteerde achterdeur en trojan voor externe toegang (RAT) genaamd VeilShell afleveren als onderdeel van een campagne gericht op Cambodja en waarschijnlijk andere Zuidoost-Aziatische landen.
De activiteit, nagesynchroniseerd GEWICHT#SLAAP door Securonix, wordt verondersteld het handwerk te zijn van APT37, ook bekend als InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet en ScarCruft.
Het vijandige collectief is actief sinds minstens 2012 en wordt geacht deel uit te maken van het Noord-Koreaanse Ministerie van Staatsveiligheid (MSS). Net als bij andere op de staat gerichte groepen variëren de met Noord-Korea verbonden groepen, waaronder de Lazarus Groep en Kimsuky, in hun modus operandi en hebben zij waarschijnlijk steeds evoluerende doelstellingen gebaseerd op staatsbelangen.
Een belangrijke malware in zijn toolbox is RokRAT (ook bekend als Goldbackdoor), hoewel de groep ook aangepaste tools heeft ontwikkeld om het verzamelen van geheime inlichtingen te vergemakkelijken.
Het is momenteel niet bekend hoe de payload van de eerste fase, een ZIP-archief met een Windows-snelkoppelingsbestand (LNK), bij de doelen wordt afgeleverd. Er wordt echter vermoed dat het waarschijnlijk gaat om het versturen van spearphishing-e-mails.
“De (VeilShell) backdoor trojan geeft de aanvaller volledige toegang tot de gecompromitteerde machine”, zeggen onderzoekers Den Iuzvyk en Tim Peck in een technisch rapport gedeeld met The Hacker News. “Sommige functies omvatten data-exfiltratie, register en geplande taakcreatie of -manipulatie.”
Het LNK-bestand fungeert, zodra het is gelanceerd, als een dropper doordat het de uitvoering van PowerShell-code activeert om de daarin ingebedde componenten van de volgende fase te decoderen en te extraheren.
Dit omvat een onschadelijk lokdocument, een Microsoft Excel- of een PDF-document, dat automatisch wordt geopend en de gebruiker afleidt terwijl een configuratiebestand (“d.exe.config”) en een kwaadaardig DLL-bestand (“DomainManager.dll”) worden geschreven in de achtergrond van de opstartmap van Windows.
Ook naar dezelfde map gekopieerd is een legitiem uitvoerbaar bestand met de naam “dfsvc.exe” dat is gekoppeld aan de ClickOnce-technologie in Microsoft .NET Framework. Het bestand wordt gekopieerd als “d.exe.”
Wat de aanvalsketen onderscheidt, is het gebruik van een minder bekende techniek genaamd AppDomainManager-injectie om DomainManager.dll uit te voeren wanneer “d.exe” wordt gestart bij het opstarten en het binaire bestand het bijbehorende bestand “d.exe.config” leest. bevindt zich in dezelfde opstartmap.
Het is vermeldenswaard dat deze aanpak onlangs ook is toegepast door de aan China verbonden Earth Baxia-speler, wat aangeeft dat deze aanpak langzaam aan populariteit wint onder bedreigingsactoren als alternatief voor side-loading van DLL.
Het DLL-bestand gedraagt zich op zijn beurt als een eenvoudige lader om JavaScript-code op te halen van een externe server, die op zijn beurt verbinding maakt met een andere server om de VeilShell-achterdeur te verkrijgen.
VeilShell is een op PowerShell gebaseerde malware die is ontworpen om contact te maken met een command-and-control (C2)-server om te wachten op verdere instructies waarmee deze informatie over bestanden kan verzamelen, een specifieke map kan comprimeren in een ZIP-archief en deze weer kan uploaden naar de C2-server , download bestanden van een opgegeven URL, hernoem en verwijder bestanden en pak ZIP-archieven uit.
“Over het algemeen waren de dreigingsactoren behoorlijk geduldig en methodisch”, merkten de onderzoekers op. “Elke fase van de aanval kent zeer lange slaaptijden in een poging om traditionele heuristische detecties te vermijden. Zodra VeilShell is ingezet, wordt het pas daadwerkelijk uitgevoerd wanneer het systeem opnieuw wordt opgestart.”
“De SHROUDED#SLEEP-campagne vertegenwoordigt een geavanceerde en heimelijke operatie gericht op Zuidoost-Azië, waarbij gebruik wordt gemaakt van meerdere uitvoeringslagen, persistentiemechanismen en een veelzijdige op PowerShell gebaseerde achterdeur-RAT om langdurige controle over gecompromitteerde systemen te bereiken.”
Het rapport van Securonix komt een dag nadat Symantec, eigendom van Broadcom, onthulde dat de Noord-Koreaanse dreigingsacteur volgde terwijl Andariel zich in augustus 2024 op drie verschillende organisaties in de VS richtte als onderdeel van een financieel gemotiveerde campagne.