Troll Stealer
Arvatakse, et Põhja-Koreaga seotud rahvusriigi näitleja Kimsuky võttis kasutusele äsja tuvastatud infovarastava pahavara Troll Stealer, mis on üles ehitatud Golangi programmeerimiskeelele. See ähvardav tarkvara on loodud erinevat tüüpi tundlike andmete, sealhulgas SSH-mandaatide, FileZilla teabe, C-draivi failide ja kataloogide, brauseri andmete, süsteemi üksikasjade ja ekraanipiltide eraldamiseks muu hulgas ohustatud süsteemidest.
Troll Stealeri seos Kimsukyga tuleneb selle sarnasusest tuntud pahavaraperekondadega, nagu AppleSeed ja AlphaSeed, mis mõlemad olid varem seotud sama ohustajate rühmaga.
Sisukord
Kimsuky on aktiivne APT (Advanced Persistent Threat) rühm
Kimsuky, teise nimega APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (endine Tallium), Nickel Kimball ja Velvet Chollima, on tuntud oma kalduvuse poolest osaleda solvavates küberoperatsioonides, mille eesmärk on tundliku ja konfidentsiaalse teabe varastamine.
2023. aasta novembris kehtestas USA rahandusministeeriumi välisvarade kontrolli büroo (OFAC) sanktsioonid nendele ohus osalejatele nende rolli eest luureandmete kogumisel, et edendada Põhja-Korea strateegilisi eesmärke.
Seda vaenulikku rühma on seostatud ka Lõuna-Korea üksuste vastu suunatud andmepüügirünnakutega, kasutades erinevaid tagauksi, sealhulgas AppleSeed ja AlphaSeed.
Rünnakuoperatsioon Troll Stealeri pahavara juurutamine
Küberjulgeolekuteadlaste läbiviidud uuring näitas, et kasutatakse tilgutit, mille ülesandeks on kasutada järgnevat varastamisohtu. Tilguti maskeerib end väidetavalt SGA Solutionsi nime all tuntud Lõuna-Korea ettevõtte turvaprogrammi installifailina. Mis puutub varastaja nimesse, siis see põhineb selle sisse manustatud teel D:/~/repo/golang/src/root.go/s/troll/agent.
Infoturbeekspertide arvamuste kohaselt toimib dropper koos pahavaraga seadusliku installijana. Nii tilgutil kui ka pahavaral on kehtiva D2Innovation Co., LTD sertifikaadi allkiri, mis viitab ettevõtte sertifikaadi võimalikule vargusele.
Troll Stealeri märkimisväärne omadus on selle võime varastada GPKI kausta ohustatud süsteemides, mis viitab tõenäosusele, et pahavara on kasutatud riigi haldus- ja avalike organisatsioonide vastu suunatud rünnakutes.
Kimsiky võib arendada oma taktikat ja ähvardada arsenali
Arvestades dokumenteeritud Kimsuky kampaaniate puudumist, mis hõlmasid GPKI kaustade vargust, võib oletada, et täheldatud uus käitumine võib tähendada taktikamuutust või grupiga tihedalt seotud teise ohus osaleja tegevust, kellel võib olla juurdepääs lähtekoodile. AppleSeed ja AlphaSeed.
Märgid viitavad ka ohus osaleja võimalikule kaasamisele Go-põhise tagaukse nimega GoBear. See tagauks on allkirjastatud legitiimse sertifikaadiga, mis on lingitud ettevõttega D2Innovation Co., LTD ja järgib Command-and-Control (C2) serveri juhiseid.
Lisaks kattuvad funktsioonide nimed GoBeari koodis Kimsuky grupi C++-põhise tagaukse pahavara BetaSeed kasutatavate käskudega. Eelkõige tutvustab GoBear SOCKS5 puhverserveri funktsionaalsust – funktsiooni, mida Kimsuky rühmaga seotud tagaukse pahavaras varem polnud.
