Troll Stealer
Si ritiene che l’attore-stato-nazione Kimsuky, associato alla Corea del Nord, abbia distribuito un malware per il furto di informazioni recentemente identificato, il Troll Stealer, costruito sul linguaggio di programmazione Golang. Questo software minaccioso è progettato per estrarre vari tipi di dati sensibili, tra cui credenziali SSH, informazioni FileZilla, file e directory dall'unità C, dati del browser, dettagli di sistema e catture di schermate, tra le altre cose, da sistemi compromessi.
La connessione di Troll Stealer con Kimsuky si deduce dalle sue somiglianze con famiglie di malware ben note come AppleSeed e AlphaSeed, entrambe precedentemente collegate allo stesso gruppo di autori di minacce.
Sommario
Kimsuky è un gruppo APT (Advanced Persistent Threat) attivo
Kimsuky, identificato in alternativa come APT43, ARCIPELAGO, Black Banshee, Emerald Sleet (ex Thallium), Nickel Kimball e Velvet Chollima, è noto per la sua propensione a impegnarsi in operazioni informatiche offensive volte a rubare informazioni sensibili e riservate.
Nel novembre 2023, l'Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha imposto sanzioni contro questi autori di minacce per il loro ruolo nella raccolta di informazioni per portare avanti gli obiettivi strategici della Corea del Nord.
Questo gruppo antagonista è stato anche collegato ad attacchi di spear phishing diretti contro entità sudcoreane, utilizzando varie backdoor, tra cui AppleSeed e AlphaSeed.
L’operazione di attacco che implementa il malware Troll Stealer
Uno studio condotto da ricercatori di sicurezza informatica ha rivelato l’utilizzo di un dropper incaricato di distribuire la successiva minaccia ladro. Il dropper si maschera da file di installazione di un programma di sicurezza presumibilmente prodotto da un'azienda sudcoreana nota come SGA Solutions. Per quanto riguarda il nome dello stealer, si basa sul percorso "D:/~/repo/golang/src/root.go/s/troll/agent" incorporato al suo interno.
Secondo gli approfondimenti forniti dagli esperti di sicurezza informatica, il dropper funziona come un programma di installazione legittimo insieme al malware. Sia il dropper che il malware portano la firma di un certificato valido di D2Innovation Co., LTD, indicando un potenziale furto del certificato dell'azienda.
Una caratteristica notevole del Troll Stealer è la sua capacità di rubare la cartella GPKI sui sistemi compromessi, suggerendo la probabilità che il malware sia stato utilizzato in attacchi diretti contro organizzazioni amministrative e pubbliche all'interno del paese.
Kimsiky potrebbe evolvere le proprie tattiche e minacciare l’arsenale
Alla luce dell'assenza di campagne Kimsuky documentate che coinvolgano il furto di cartelle GPKI, si ipotizza che il nuovo comportamento osservato potrebbe significare un cambiamento nelle tattiche o nelle azioni di un altro attore della minaccia strettamente affiliato al gruppo, potenzialmente in possesso dell'accesso al codice sorgente di AppleSeed e AlphaSeed.
Alcuni indizi puntano anche al potenziale coinvolgimento dell’autore della minaccia in una backdoor basata su Go denominata GoBear. Questa backdoor è firmata con un certificato legittimo collegato a D2Innovation Co., LTD e segue le istruzioni di un server Command-and-Control (C2).
Inoltre, i nomi delle funzioni all'interno del codice di GoBear si sovrappongono ai comandi utilizzati da BetaSeed, un malware backdoor basato su C++ utilizzato dal gruppo Kimsuky. In particolare, GoBear introduce la funzionalità proxy SOCKS5, una funzionalità non precedentemente presente nel malware backdoor associato al gruppo Kimsuky.
