【安全资讯】SHROUDED#SLEEP：APT37在东南亚的高级隐匿与持久策略

概要：

Securonix威胁研究团队近期揭示了一场由朝鲜APT37小组发起的隐蔽恶意软件攻击活动，该活动命名为SHROUDED#SLEEP，主要针对东南亚国家，尤其是柬埔寨。此活动以其广泛使用的隐身技术和持久性机制而著称，旨在长期不被发现。

主要内容：

此次SHROUDED#SLEEP攻击活动以钓鱼攻击为起点，受害者被诱导打开包含恶意快捷方式文件的压缩包，这些文件巧妙地伪装成报告或电子表格。恶意文件利用双重扩展名隐藏其真实性质。当点击时，受害者在不知情的情况下执行了嵌入的PowerShell命令链，启动了恶意软件投放流程。

核心的攻击技术涉及VeilShell，这是一种定制的PowerShell后门软件，允许APT37远程控制受感染的计算机。一旦执行，后门软件能够进行数据渗漏、注册表操作和计划任务创建。VeilShell通过推迟到下次系统重启才执行的策略来绕过传统的检测机制。

攻击活动分为多个阶段，快捷方式文件中嵌入了三个不同的有效载荷，通过PowerShell进行解码。最终的有效载荷是一个恶意DLL文件，使用AppDomainManager Hijacking技术来维持持久性并进一步在受害者系统上进行恶意活动。

虽然此活动主要针对柬埔寨，但钓鱼诱饵和恶意软件遥测表明，其影响范围可能扩展到泰国、越南和老挝等东南亚国家。此外，APT37展示了其不断适应和进化的战术，对整个地区的网络安全构成了严峻威胁。