Troll Stealer
Es creu que l'actor estatal Kimsuky, associat amb Corea del Nord, va desplegar un programari maliciós per robar informació recentment identificat, el Troll Stealer, basat en el llenguatge de programació Golang. Aquest programari amenaçador està dissenyat per extreure diversos tipus de dades sensibles, com ara credencials SSH, informació de FileZilla, fitxers i directoris de la unitat C, dades del navegador, detalls del sistema i captures de pantalla, entre altres coses, de sistemes compromesos.
La connexió de Troll Stealer amb Kimsuky es dedueix de les seves semblances amb famílies de programari maliciós conegudes com AppleSeed i AlphaSeed, ambdues vinculades anteriorment al mateix grup d'actors d'amenaça.
Taula de continguts
Kimsuky és un grup actiu d'APT (amenaça persistent avançada).
Kimsuky, identificat alternativament com APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (abans Thallium), Nickel Kimball i Velvet Chollima, és conegut per la seva propensió a participar en operacions cibernètiques ofensives destinades a robar informació sensible i confidencial.
El novembre de 2023, l'Oficina de Control d'Actius Estrangers (OFAC) del Departament del Tresor dels EUA va pressionar sancions a aquests actors d'amenaça pel seu paper en la recollida d'intel·ligència per avançar en els objectius estratègics de Corea del Nord.
Aquest grup adversari també s'ha relacionat amb atacs de pesca llança dirigits a entitats de Corea del Sud, utilitzant diverses portes del darrere, com AppleSeed i AlphaSeed.
L'operació d'atac desplegant el programari maliciós Troll Stealer
Un examen realitzat per investigadors de ciberseguretat ha revelat la utilització d'un comptegotes encarregat de desplegar l'amenaça de robatori posterior. El comptagotes es disfressa com a fitxer d'instal·lació d'un programa de seguretat suposadament d'una empresa sud-coreana coneguda com SGA Solutions. Pel que fa al nom del lladre, es basa en el camí "D:/~/repo/golang/src/root.go/s/troll/agent" incrustat dins d'ell.
Segons els coneixements proporcionats pels experts en seguretat de la informació, el comptagote funciona com un instal·lador legítim juntament amb el programari maliciós. Tant el comptegotes com el programari maliciós porten la signatura d'un certificat vàlid de D2Innovation Co., LTD, que indica un possible robatori del certificat de l'empresa.
Una característica notable del Troll Stealer és la seva capacitat per robar la carpeta GPKI en sistemes compromesos, deixant entreveure la probabilitat que el programari maliciós s'hagi utilitzat en atacs dirigits a organitzacions administratives i públiques del país.
Kimsiky pot estar evolucionant les seves tàctiques i amenaçant l'arsenal
A la llum de l'absència de campanyes de Kimsuky documentades que impliquin el robatori de carpetes GPKI, s'especula que el nou comportament observat podria significar un canvi en les tàctiques o les accions d'un altre actor d'amenaça estretament afiliat al grup, que podria tenir accés al codi font. d'AppleSeed i AlphaSeed.
Les indicacions també apunten a la possible implicació de l'actor de l'amenaça en una porta posterior basada en Go anomenada GoBear. Aquesta porta posterior està signada amb un certificat legítim vinculat a D2Innovation Co., LTD i segueix les instruccions d'un servidor de comandament i control (C2).
A més, els noms de les funcions dins del codi de GoBear es superposen amb les ordres utilitzades per BetaSeed, un programari maliciós de porta posterior basat en C++ emprat pel grup Kimsuky. En particular, GoBear introdueix la funcionalitat de proxy SOCKS5, una característica que no estava present prèviament al programari maliciós de la porta posterior associat al grup Kimsuky.
