新的 VeilShell 后门木马攻击概述

重点摘要

• 新的 VeilShell 后门木马攻击针对柬埔寨及东南亚其他国家。
• 此次攻击属于 SHROUDED#SLEEP 活动，可能由朝鲜国家赞助的APT37组织主导。
• APT37 利用恶意钓鱼邮件传播含有恶意代码的 ZIP 文件。
• VeilShell 提供对受感染机器的完全访问权限，并具有多种功能。

根据 的报道，新推出的 VeilShell 远程访问木马攻击已对柬埔寨及东南亚其他国家发起，怀疑是由朝鲜支持的威胁组织 领导，该组织也被称为 InkySquid、ScarCruft、Ruby Sleet、RicochetChollima、RedEyes 和 Reaper。

根据 Securonix 的一份报告，APT37 可能利用恶意的钓鱼邮件传播一个附带 LNK 文件的 ZIP 压缩包，执行该文件会启动包含 DLL 文件的 PowerShell 代码，从而方便获取 VeilShell。报告还指出此次攻击活动的“有计划性”。除了能够进行文件信息收集和文件夹压缩之外，VeilShell还允许进行文件下载、重命名及删除，以及 ZIP 压缩包解压。

“VeilShell 后门木马赋予攻击者对受感染机器的完全访问权限。一些功能包括数据外泄、注册表操作，以及计划任务的创建或修改。”研究人员表示。

攻击特征与潜在影响

此次攻击展示了 APT37使用先进技术实施钓鱼攻击的能力，并凸显了对数据保护和网络安全的日益重视。各组织需加强网络防护措施，尤其要警惕这类迹象。确保系统与用户具备防范危险邮件及恶意链接的基本意识，是应对这些新兴威胁的有效手段。