Troll Stealer
اعتقاد بر این است که کیمسوکی بازیگر دولت ملی، مرتبط با کره شمالی، یک بدافزار سرقت اطلاعات جدید شناسایی شده به نام Troll Stealer را که بر اساس زبان برنامه نویسی Golang ساخته شده است، مستقر کرده است. این نرمافزار تهدیدکننده برای استخراج انواع مختلف دادههای حساس، از جمله اعتبارنامه SSH، اطلاعات FileZilla، فایلها و دایرکتوریها از درایو C، دادههای مرورگر، جزئیات سیستم، و عکسهای صفحه نمایش، از جمله موارد دیگر، از سیستمهای در معرض خطر طراحی شده است.
ارتباط Troll Stealer با Kimsuky از شباهتهای آن به خانوادههای بدافزار معروفی مانند AppleSeed و AlphaSeed استنباط میشود که هر دو قبلاً به یک گروه عامل تهدید مرتبط بودند.
فهرست مطالب
Kimsuky یک گروه فعال APT (تهدید پایدار پیشرفته) است
کیمسوکی با نامهای دیگر APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet (Tallium سابق)، نیکل کیمبال، و Velvet Chollima شناخته میشود، به دلیل تمایل به مشارکت در عملیات سایبری تهاجمی با هدف سرقت اطلاعات حساس و محرمانه مشهور است.
در نوامبر 2023، دفتر کنترل دارایی های خارجی وزارت خزانه داری آمریکا (OFAC) تحریم هایی را علیه این بازیگران تهدید به دلیل نقش آنها در جمع آوری اطلاعات برای پیشبرد اهداف استراتژیک کره شمالی اعمال کرد.
این گروه متخاصم همچنین با حملات spear-phishing به نهادهای کره جنوبی، با استفاده از درهای پشتی مختلف، از جمله AppleSeed و AlphaSeed، مرتبط بوده است.
عملیات حمله استقرار بدافزار ترول دزد
بررسی انجام شده توسط محققان امنیت سایبری استفاده از یک قطره چکان را نشان می دهد که وظیفه دارد تهدید دزد بعدی را به کار گیرد. قطره چکان خود را به عنوان فایل نصبی برای یک برنامه امنیتی ظاهراً متعلق به یک شرکت کره جنوبی به نام SGA Solutions پنهان می کند. در مورد نام دزد، بر اساس مسیر 'D:/~/repo/golang/src/root.go/s/troll/agent' تعبیه شده در آن است.
طبق بینش ارائه شده توسط کارشناسان امنیت اطلاعات، dropper به عنوان یک نصب کننده قانونی در ارتباط با بدافزار عمل می کند. هم قطره چکان و هم بدافزار دارای امضای گواهی معتبر D2Innovation Co., LTD هستند که نشان دهنده سرقت احتمالی گواهی شرکت است.
یکی از ویژگیهای قابل توجه Troll Stealer توانایی آن در سرقت پوشه GPKI در سیستمهای در معرض خطر است، که به احتمال استفاده از بدافزار در حملاتی به سازمانهای اداری و عمومی در داخل کشور اشاره میکند.
کیمسیکی ممکن است تاکتیک های خود را تغییر دهد و آرسنال را تهدید کند
با توجه به عدم وجود کمپینهای مستند Kimsuky که شامل سرقت پوشههای GPKI باشد، این گمانهزنی وجود دارد که رفتار جدید مشاهدهشده میتواند نشاندهنده تغییر تاکتیکها یا اقدامات یک عامل تهدید دیگری باشد که نزدیک به گروه، به طور بالقوه به کد منبع دسترسی دارد. از AppleSeed و AlphaSeed.
نشانهها همچنین به دخالت احتمالی عامل تهدید در یک درب پشتی مبتنی بر Go به نام GoBear اشاره میکنند. این درب پشتی با یک گواهی قانونی مرتبط با D2Innovation Co., LTD امضا شده است و از دستورالعمل های یک سرور Command-and-Control (C2) پیروی می کند.
علاوه بر این، نام توابع در کد GoBear با دستورات استفاده شده توسط BetaSeed، یک بدافزار پشتی مبتنی بر C++ که توسط گروه Kimsuky استفاده میشود، همپوشانی دارند. قابل ذکر است که GoBear عملکرد پراکسی SOCKS5 را معرفی می کند، ویژگی که قبلاً در بدافزار backdoor مرتبط با گروه Kimsuky وجود نداشت.