Troll Stealer
על פי ההערכות, שחקן מדינת הלאום Kimsuky, המזוהה עם קוריאה הצפונית, פרס תוכנה זדונית חדשה שזוהתה גניבת מידע, ה-Troll Stealer, שנבנתה על שפת התכנות Golang. תוכנה מאיימת זו נועדה לחלץ סוגים שונים של נתונים רגישים, כולל אישורי SSH, מידע FileZilla, קבצים וספריות מכונן C, נתוני דפדפן, פרטי מערכת וצילומי מסך, בין היתר, ממערכות שנפגעו.
הקשר של Troll Stealer לקימסוקי מוסק מהדמיון שלו למשפחות תוכנות זדוניות ידועות כמו AppleSeed ו-AlphaSeed, שניהם מקושרים בעבר לאותה קבוצת שחקנים איום.
תוכן העניינים
Kimsuky היא קבוצת APT פעילה (Advanced Persistent Threat).
Kimsuky, לחלופין מזוהה כ-APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (לשעבר Thallium), Nickel Kimball ו-Velvet Chollima, ידועה בנטייה שלה לעסוק בפעולות סייבר פוגעניות שמטרתן לגזל מידע רגיש וסודי.
בנובמבר 2023, משרד האוצר האמריקאי לבקרת נכסים זרים (OFAC) לחץ על סנקציות על גורמי איומים אלה בשל תפקידם באיסוף מודיעין לקידום המטרות האסטרטגיות של צפון קוריאה.
קבוצה יריבה זו נקשרה גם להתקפות דיוג בחנית שהופנו כלפי ישויות דרום קוריאניות, תוך שימוש בדלתות אחוריות שונות, כולל AppleSeed ו-AlphaSeed.
מבצע ההתקפה פריסת התוכנה הזדונית של גנב הטרולים
בדיקה שנערכה על ידי חוקרי אבטחת סייבר חשפה את השימוש במטפטף שהופקד על פריסת איום הגנב הבא. הטפטפת מתחפשת לקובץ התקנה של תוכנית אבטחה שלכאורה מחברה דרום קוריאנית הידועה בשם SGA Solutions. לגבי השם של הגנב, הוא מבוסס על הנתיב 'D:/~/repo/golang/src/root.go/s/troll/agent' המוטבע בתוכו.
בהתאם לתובנות שסופקו על ידי מומחי אבטחת מידע, הטפטפת פועלת כמתקין לגיטימי בשילוב עם התוכנה הזדונית. גם הטפטפת וגם התוכנה הזדונית נושאות חתימה של תעודת D2Innovation Co., LTD תקפה, המעידה על גניבה אפשרית של תעודת החברה.
מאפיין בולט של ה-Troll Stealer הוא יכולתו לגנוב את תיקיית GPKI במערכות שנפגעו, מה שמרמז על הסבירות שהתוכנה הזדונית הופעלה בהתקפות שהופנו על ארגונים מנהליים וציבוריים במדינה.
קימסיקי עשוי לפתח את הטקטיקה שלו ומאיים על ארסנל
לאור היעדר קמפיינים מתועדים של Kimsuky הכוללים גניבה של תיקיות GPKI, ישנה השערה שההתנהגות החדשה שנצפתה יכולה להעיד על שינוי בטקטיקה או על פעולות של שחקן איום אחר הקשור קשר הדוק לקבוצה, שעלול להיות בעל גישה לקוד המקור של AppleSeed ו-AlphaSeed.
האינדיקציות מצביעות גם על מעורבות פוטנציאלית של שחקן האיום בדלת אחורית מבוססת Go בשם GoBear. דלת אחורית זו חתומה באישור לגיטימי המקושר ל-D2Innovation Co., LTD ועוקבת אחר הוראות משרת Command-and-Control (C2).
יתר על כן, שמות הפונקציות בקוד של GoBear חופפים לפקודות המשמשות את BetaSeed, תוכנה זדונית מבוססת C++ בדלת אחורית המועסקת על ידי קבוצת Kimsuky. יש לציין, GoBear מציגה פונקציונליות פרוקסי SOCKS5, תכונה שלא הייתה קיימת בעבר בתוכנות זדוניות בדלת האחורית הקשורה לקבוצת Kimsuky.
