Troll Stealer
يُعتقد أن ممثل الدولة القومية كيمسوكي، المرتبط بكوريا الشمالية، قد نشر برنامجًا ضارًا تم تحديده حديثًا لسرقة المعلومات، وهو Troll Stealer، المبني على لغة البرمجة Golang. تم تصميم برنامج التهديد هذا لاستخراج أنواع مختلفة من البيانات الحساسة، بما في ذلك بيانات اعتماد SSH ومعلومات FileZilla والملفات والأدلة من محرك الأقراص C وبيانات المتصفح وتفاصيل النظام ولقطات الشاشة، من بين أشياء أخرى، من الأنظمة المخترقة.
يتم استنتاج اتصال Troll Stealer بـ Kimsuky من تشابهها مع عائلات البرامج الضارة المعروفة مثل AppleSeed وAlphaSeed، وكلاهما مرتبط سابقًا بنفس مجموعة التهديد.
جدول المحتويات
Kimsuky هي مجموعة APT (التهديدات المستمرة المتقدمة) النشطة
تشتهر Kimsuky، التي تم تحديدها أيضًا باسم APT43، وARCHIPELAGO، وBlack Banshee، وEmerald Sleet (Thallium سابقًا)، وNickel Kimball، وVelvet Chollima، بميلها إلى الانخراط في عمليات إلكترونية هجومية تهدف إلى سرقة المعلومات الحساسة والسرية.
في نوفمبر 2023، فرض مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية (OFAC) عقوبات على هذه الجهات التهديدية لدورها في جمع المعلومات الاستخبارية لتعزيز الأهداف الاستراتيجية لكوريا الشمالية.
كما تم ربط هذه المجموعة المعادية أيضًا بهجمات التصيد الاحتيالي الموجهة إلى الكيانات الكورية الجنوبية، وذلك باستخدام أبواب خلفية مختلفة، بما في ذلك AppleSeed وAlphaSeed.
عملية الهجوم تنشر البرنامج الضار Troll Stealer
كشف فحص أجراه باحثون في مجال الأمن السيبراني عن استخدام قطارة مكلفة بنشر تهديد السرقة اللاحق. يتنكر القطارة في شكل ملف تثبيت لبرنامج أمني يُزعم أنه من شركة كورية جنوبية تُعرف باسم SGA Solutions. أما اسم السارق فهو مبني على المسار "D:/~/repo/golang/src/root.go/s/troll/agent" المضمن بداخله.
وفقًا للرؤى المقدمة من خبراء أمن المعلومات، يعمل القطارة كمثبت شرعي بالتزامن مع البرامج الضارة. يحمل كل من القطارة والبرامج الضارة توقيع شهادة D2Innovation Co., LTD صالحة، مما يشير إلى احتمال سرقة شهادة الشركة.
من السمات البارزة لبرنامج Troll Stealer قدرته على سرقة مجلد GPKI على الأنظمة المخترقة، مما يشير إلى احتمال استخدام البرنامج الضار في هجمات موجهة إلى المؤسسات الإدارية والعامة داخل الدولة.
قد يقوم كيمسيكي بتطوير تكتيكاتهم وتهديد أرسنال
في ضوء عدم وجود حملات Kimsuky الموثقة التي تنطوي على سرقة مجلدات GPKI، هناك تكهنات بأن السلوك الجديد الملحوظ يمكن أن يشير إلى تحول في التكتيكات أو تصرفات جهة تهديد أخرى مرتبطة ارتباطًا وثيقًا بالمجموعة، ومن المحتمل أن تمتلك إمكانية الوصول إلى كود المصدر من AppleSeed وAlphaSeed.
تشير المؤشرات أيضًا إلى احتمال تورط جهة التهديد في باب خلفي قائم على Go يُسمى GoBear. تم توقيع هذا الباب الخلفي بشهادة شرعية مرتبطة بشركة D2Innovation Co., LTD ويتبع التعليمات من خادم القيادة والتحكم (C2).
علاوة على ذلك، تتداخل أسماء الوظائف الموجودة في كود GoBear مع الأوامر التي تستخدمها BetaSeed، وهي عبارة عن برنامج ضار مستتر يعتمد على C++ تستخدمه مجموعة Kimsuky. والجدير بالذكر أن GoBear يقدم وظيفة الوكيل SOCKS5، وهي ميزة لم تكن موجودة سابقًا في البرامج الضارة ذات الأبواب الخلفية المرتبطة بمجموعة Kimsuky.
