trollstealer

माना जाता है कि उत्तर कोरिया से जुड़े राष्ट्र-राज्य अभिनेता किमसुकी ने गोलांग प्रोग्रामिंग भाषा पर निर्मित एक नए पहचाने गए जानकारी-चोरी करने वाले मैलवेयर, ट्रोल स्टीलर को तैनात किया है। यह धमकी भरा सॉफ़्टवेयर विभिन्न प्रकार के संवेदनशील डेटा को निकालने के लिए डिज़ाइन किया गया है, जिसमें एसएसएच क्रेडेंशियल्स, फ़ाइलज़िला जानकारी, सी ड्राइव से फ़ाइलें और निर्देशिकाएं, ब्राउज़र डेटा, सिस्टम विवरण और स्क्रीन कैप्चर, अन्य चीजों के अलावा, समझौता किए गए सिस्टम से शामिल हैं।

ट्रोल स्टीलर का किम्सुकी से संबंध एप्पलसीड और अल्फासीड जैसे प्रसिद्ध मैलवेयर परिवारों से मिलता जुलता है, जो पहले एक ही खतरा अभिनेता समूह से जुड़े थे।

किमसुकी एक सक्रिय एपीटी (एडवांस्ड परसिस्टेंट थ्रेट) समूह है

किमसुकी, जिसे वैकल्पिक रूप से APT43, ARCHIPELAGO, ब्लैक बंशी, एमराल्ड स्लीट (पूर्व में थैलियम), निकेल किमबॉल और वेलवेट चोलिमा के रूप में पहचाना जाता है, संवेदनशील और गोपनीय जानकारी चुराने के उद्देश्य से आक्रामक साइबर ऑपरेशन में शामिल होने की प्रवृत्ति के लिए प्रसिद्ध है।

नवंबर 2023 में, अमेरिकी ट्रेजरी विभाग के विदेशी संपत्ति नियंत्रण कार्यालय (ओएफएसी) ने उत्तर कोरिया के रणनीतिक लक्ष्यों को आगे बढ़ाने के लिए खुफिया जानकारी इकट्ठा करने में उनकी भूमिका के लिए इन खतरे वाले अभिनेताओं पर प्रतिबंध लगाया।

इस प्रतिकूल समूह को AppleSeed और AlphaSeed सहित विभिन्न पिछले दरवाजों का उपयोग करके दक्षिण कोरियाई संस्थाओं पर निर्देशित स्पीयर-फ़िशिंग हमलों से भी जोड़ा गया है।

हमला ऑपरेशन Troll Stealer करने वाले मैलवेयर को तैनात करना

साइबर सुरक्षा शोधकर्ताओं द्वारा की गई एक जांच में एक ड्रॉपर के उपयोग का पता चला है जिसे बाद में चोरी करने वाले खतरे को तैनात करने का काम सौंपा गया है। ड्रॉपर कथित तौर पर एसजीए सॉल्यूशंस के नाम से जानी जाने वाली दक्षिण कोरियाई फर्म के एक सुरक्षा कार्यक्रम के लिए इंस्टॉलेशन फ़ाइल के रूप में खुद को प्रच्छन्न करता है। जहां तक चोरी करने वाले के नाम की बात है, यह इसके भीतर अंतर्निहित पथ 'D:/~/repo/golang/src/root.go/s/troll/agent' पर आधारित है।

सूचना सुरक्षा विशेषज्ञों द्वारा प्रदान की गई जानकारी के अनुसार, ड्रॉपर मैलवेयर के साथ मिलकर एक वैध इंस्टॉलर के रूप में काम करता है। ड्रॉपर और मैलवेयर दोनों पर वैध D2Innovation Co., LTD प्रमाणपत्र के हस्ताक्षर हैं, जो कंपनी के प्रमाणपत्र की संभावित चोरी का संकेत देता है।

ट्रोल स्टीलर की एक उल्लेखनीय विशेषता समझौता किए गए सिस्टम पर जीपीकेआई फ़ोल्डर को चुराने की इसकी क्षमता है, जो इस संभावना की ओर इशारा करती है कि मैलवेयर को देश के भीतर प्रशासनिक और सार्वजनिक संगठनों पर निर्देशित हमलों में नियोजित किया गया है।

किम्सिकी अपनी रणनीति विकसित कर सकती है और शस्त्रागार को खतरे में डाल सकती है

जीपीकेआई फ़ोल्डरों की चोरी से जुड़े दस्तावेज़ीकृत किमसुकी अभियानों की अनुपस्थिति के प्रकाश में, ऐसी अटकलें हैं कि देखा गया नया व्यवहार रणनीति में बदलाव या समूह से जुड़े किसी अन्य खतरे वाले अभिनेता के कार्यों का संकेत दे सकता है, जो संभावित रूप से स्रोत कोड तक पहुंच रखता है। AppleSeed और AlphaSeed का।

संकेत गोबियर नामक गो-आधारित पिछले दरवाजे में खतरे वाले अभिनेता की संभावित भागीदारी की ओर भी इशारा करते हैं। यह पिछला दरवाज़ा D2Innovation Co., LTD से जुड़े एक वैध प्रमाणपत्र के साथ हस्ताक्षरित है और कमांड-एंड-कंट्रोल (C2) सर्वर से निर्देशों का पालन करता है।

इसके अलावा, GoBear के कोड के भीतर फ़ंक्शन नाम BetaSeed द्वारा उपयोग किए गए कमांड के साथ ओवरलैप होते हैं, जो किमसुकी समूह द्वारा नियोजित C++-आधारित बैकडोर मैलवेयर है। विशेष रूप से, GoBear SOCKS5 प्रॉक्सी कार्यक्षमता पेश करता है, एक ऐसी सुविधा जो पहले किमसुकी समूह से जुड़े पिछले दरवाजे मैलवेयर में मौजूद नहीं थी।