Troll Stealer
Pelakon negara bangsa Kimsuky, yang dikaitkan dengan Korea Utara, dipercayai telah menggunakan perisian hasad mencuri maklumat yang baru dikenal pasti, Troll Stealer, dibina di atas bahasa pengaturcaraan Golang. Perisian mengancam ini direka untuk mengekstrak pelbagai jenis data sensitif, termasuk bukti kelayakan SSH, maklumat FileZilla, fail dan direktori daripada pemacu C, data penyemak imbas, butiran sistem dan tangkapan skrin, antara lain, daripada sistem yang terjejas.
Sambungan Troll Stealer kepada Kimsuky disimpulkan daripada persamaannya dengan keluarga perisian hasad yang terkenal seperti AppleSeed dan AlphaSeed, kedua-duanya sebelum ini dikaitkan dengan kumpulan pelakon ancaman yang sama.
Isi kandungan
Kimsuky Adalah Kumpulan APT (Advanced Persistent Threat) Aktif
Kimsuky, yang dikenal pasti sebagai APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dahulunya Thallium), Nickel Kimball, dan Velvet Chollima, terkenal kerana kecenderungannya untuk terlibat dalam operasi siber yang menyinggung bertujuan untuk mencuri maklumat sensitif dan sulit.
Pada November 2023, Pejabat Kawalan Aset Asing (OFAC) Jabatan Perbendaharaan AS menekan sekatan ke atas aktor ancaman ini kerana peranan mereka dalam mengumpulkan risikan untuk memajukan matlamat strategik Korea Utara.
Kumpulan musuh ini juga telah dikaitkan dengan serangan pancingan lembing yang ditujukan kepada entiti Korea Selatan, menggunakan pelbagai pintu belakang, termasuk AppleSeed dan AlphaSeed.
Operasi Serangan Menggunakan Perisian Hasad Troll Stealer
Pemeriksaan yang dijalankan oleh penyelidik keselamatan siber telah mendedahkan penggunaan penitis yang ditugaskan untuk menggunakan ancaman pencuri berikutnya. Penitis itu menyamar sebagai fail pemasangan untuk program keselamatan yang kononnya daripada firma Korea Selatan yang dikenali sebagai SGA Solutions. Bagi nama pencuri, ia berdasarkan laluan 'D:/~/repo/golang/src/root.go/s/troll/agent' yang tertanam di dalamnya.
Mengikut cerapan yang diberikan oleh pakar keselamatan maklumat, penitis itu beroperasi sebagai pemasang yang sah bersama-sama dengan perisian hasad. Kedua-dua penitis dan perisian hasad mempunyai tandatangan sijil D2Innovation Co., LTD yang sah, yang menunjukkan kemungkinan kecurian sijil syarikat.
Ciri ketara Troll Stealer ialah keupayaannya untuk mencuri folder GPKI pada sistem yang terjejas, membayangkan kemungkinan bahawa perisian hasad telah digunakan dalam serangan yang ditujukan kepada organisasi pentadbiran dan awam dalam negara.
Kimsiky Mungkin Mengembangkan Taktik Mereka dan Mengancam Arsenal
Memandangkan ketiadaan kempen Kimsuky yang didokumenkan yang melibatkan kecurian folder GPKI, terdapat spekulasi bahawa tingkah laku baharu yang diperhatikan boleh menandakan peralihan dalam taktik atau tindakan pelakon ancaman lain yang bersekutu rapat dengan kumpulan itu, yang berpotensi memiliki akses kepada kod sumber daripada AppleSeed dan AlphaSeed.
Petunjuk juga menunjukkan potensi penglibatan pelakon ancaman dalam pintu belakang berasaskan Go bernama GoBear. Pintu belakang ini ditandatangani dengan sijil sah yang dipautkan kepada D2Innovation Co., LTD dan mengikut arahan daripada pelayan Command-and-Control (C2).
Tambahan pula, nama fungsi dalam kod GoBear bertindih dengan arahan yang digunakan oleh BetaSeed, perisian hasad pintu belakang berasaskan C++ yang digunakan oleh kumpulan Kimsuky. Terutama, GoBear memperkenalkan fungsi proksi SOCKS5, ciri yang tidak pernah terdapat dalam perisian hasad pintu belakang yang dikaitkan dengan kumpulan Kimsuky.
