Troll Stealer
Ο ηθοποιός του έθνους-κράτους Kimsuky, που σχετίζεται με τη Βόρεια Κορέα, πιστεύεται ότι έχει αναπτύξει ένα νέο κακόβουλο λογισμικό κλοπής πληροφοριών, το Troll Stealer, που βασίζεται στη γλώσσα προγραμματισμού Golang. Αυτό το απειλητικό λογισμικό έχει σχεδιαστεί για να εξάγει διάφορους τύπους ευαίσθητων δεδομένων, όπως διαπιστευτήρια SSH, πληροφορίες FileZilla, αρχεία και καταλόγους από τη μονάδα δίσκου C, δεδομένα προγράμματος περιήγησης, λεπτομέρειες συστήματος και καταγραφές οθόνης, μεταξύ άλλων, από παραβιασμένα συστήματα.
Η σύνδεση του Troll Stealer με τον Kimsuky συνάγεται από τις ομοιότητές του με γνωστές οικογένειες κακόβουλου λογισμικού όπως το AppleSeed και το AlphaSeed, που είχαν συνδεθεί προηγουμένως με την ίδια ομάδα δρώντων απειλών.
Πίνακας περιεχομένων
Το Kimsuky είναι μια ενεργή ομάδα APT (Advanced Persistent Threat).
Το Kimsuky, που προσδιορίζεται εναλλακτικά ως APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (πρώην Thallium), Nickel Kimball και Velvet Chollima, είναι διάσημο για την τάση του να συμμετέχει σε επιθετικές επιχειρήσεις στον κυβερνοχώρο που στοχεύουν στην κλοπή ευαίσθητων και εμπιστευτικών πληροφοριών.
Τον Νοέμβριο του 2023, το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ (OFAC) επέβαλε κυρώσεις σε αυτούς τους παράγοντες απειλών για τον ρόλο τους στη συλλογή πληροφοριών για την προώθηση των στρατηγικών στόχων της Βόρειας Κορέας.
Αυτή η αντίπαλη ομάδα έχει επίσης συνδεθεί με επιθέσεις spear-phishing που απευθύνονται σε νοτιοκορεατικές οντότητες, χρησιμοποιώντας διάφορα backdoors, συμπεριλαμβανομένων των AppleSeed και AlphaSeed.
The Attack Operation Deploying the Troll Stealer Malware
Μια εξέταση που διεξήχθη από ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψε τη χρήση ενός σταγονόμετρου που έχει επιφορτιστεί με την ανάπτυξη της επακόλουθης απειλής κλέφτη. Το dropper μεταμφιέζεται ως αρχείο εγκατάστασης για ένα πρόγραμμα ασφαλείας που υποτίθεται ότι προέρχεται από μια εταιρεία της Νότιας Κορέας γνωστής ως SGA Solutions. Όσο για το όνομα του κλέφτη, βασίζεται στη διαδρομή «D:/~/repo/golang/src/root.go/s/troll/agent» που είναι ενσωματωμένη σε αυτό.
Σύμφωνα με τις πληροφορίες που παρέχονται από ειδικούς σε θέματα ασφάλειας πληροφοριών, το dropper λειτουργεί ως νόμιμο πρόγραμμα εγκατάστασης σε συνδυασμό με το κακόβουλο λογισμικό. Τόσο το dropper όσο και το κακόβουλο λογισμικό φέρουν την υπογραφή ενός έγκυρου πιστοποιητικού D2Innovation Co., LTD, που υποδηλώνει πιθανή κλοπή του πιστοποιητικού της εταιρείας.
Ένα αξιοσημείωτο χαρακτηριστικό του Troll Stealer είναι η ικανότητά του να κλέβει τον φάκελο GPKI σε παραβιασμένα συστήματα, υπονοώντας την πιθανότητα ότι το κακόβουλο λογισμικό έχει χρησιμοποιηθεί σε επιθέσεις που απευθύνονται σε διοικητικούς και δημόσιους οργανισμούς εντός της χώρας.
Ο Kimsiky μπορεί να εξελίσσει τις τακτικές του και να απειλεί την Άρσεναλ
Λόγω της απουσίας τεκμηριωμένων εκστρατειών Kimsuky που περιλαμβάνουν κλοπή φακέλων GPKI, υπάρχουν εικασίες ότι η παρατηρούμενη νέα συμπεριφορά θα μπορούσε να σημαίνει αλλαγή στην τακτική ή τις ενέργειες ενός άλλου παράγοντα απειλής στενά συνδεδεμένου με την ομάδα, ο οποίος ενδεχομένως να έχει πρόσβαση στον πηγαίο κώδικα του AppleSeed και του AlphaSeed.
Οι ενδείξεις δείχνουν επίσης την πιθανή εμπλοκή του ηθοποιού απειλής σε μια κερκόπορτα που βασίζεται στο Go που ονομάζεται GoBear. Αυτή η κερκόπορτα είναι υπογεγραμμένη με ένα νόμιμο πιστοποιητικό που συνδέεται με την D2Innovation Co., LTD και ακολουθεί τις οδηγίες από έναν διακομιστή Command-and-Control (C2).
Επιπλέον, τα ονόματα συναρτήσεων στον κώδικα του GoBear επικαλύπτονται με εντολές που χρησιμοποιούνται από το BetaSeed, ένα κακόβουλο λογισμικό backdoor που βασίζεται σε C++ και χρησιμοποιείται από την ομάδα Kimsuky. Συγκεκριμένα, το GoBear εισάγει τη λειτουργία διακομιστή μεσολάβησης SOCKS5, μια δυνατότητα που δεν υπήρχε στο παρελθόν στο κακόβουλο λογισμικό backdoor που σχετίζεται με την ομάδα Kimsuky.
