新的 VeilShell 后门木马攻击概述

重点摘要

新的 VeilShell 后门木马攻击针对柬埔寨及东南亚其他国家。此次攻击属于 SHROUDED#SLEEP 活动，可能由朝鲜国家赞助的APT37组织主导。APT37 利用恶意钓鱼邮件传播含有恶意代码的 ZIP 文件。VeilShell 提供对受感染机器的完全访问权限，并具有多种功能。

根据 The Hacker News 的报道，新推出的 VeilShell 远程访问木马攻击已对柬埔寨及东南亚其他国家发起，怀疑是由朝鲜支持的威胁组织 APT37 领导，该组织也被称为 InkySquid、ScarCruft、Ruby Sleet、Ricochet Chollima、RedEyes 和 Reaper。

根据 Securonix 的一份报告，APT37 可能利用恶意的钓鱼邮件传播一个附带 LNK 文件的 ZIP 压缩包，执行该文件会启动包含 DLL 文件的 PowerShell 代码，从而方便获取 VeilShell。报告还指出此次攻击活动的“有计划性”。除了能够进行文件信息收集和文件夹压缩之外，VeilShell 还允许进行文件下载、重命名及删除，以及 ZIP 压缩包解压。

海外npv加速器

“VeilShell 后门木马赋予攻击者对受感染机器的完全访问权限。一些功能包括数据外泄、注册表操作，以及计划任务的创建或修改。”研究人员表示。

攻击特征与潜在影响

功能描述文件收集能够收集指定文件的信息文件压缩支持压缩文件夹，以方便数据存储文件下载允许从远程服务器下载文件文件重命名改变文件名称，可能掩盖恶意活动文件删除删除指定文件，以清除痕迹ZIP 解压能够提取压缩包中的文件

此次攻击展示了 APT37 使用先进技术实施钓鱼攻击的能力，并凸显了对数据保护和网络安全的日益重视。各组织需加强网络防护措施，尤其要警惕这类迹象。确保系统与用户具备防范危险邮件及恶意链接的基本意识，是应对这些新兴威胁的有效手段。