Troll Stealer
Acredita-se que o ator estatal Kimsuky, associado à Coreia do Norte, tenha implantado um malware recentemente identificado para roubo de informações, o Troll Stealer, construído na linguagem de programação Golang. Este software ameaçador foi projetado para extrair vários tipos de dados confidenciais, incluindo credenciais SSH, informações do FileZilla, arquivos e diretórios da unidade C, dados do navegador, detalhes do sistema e capturas de tela, entre outras coisas, de sistemas comprometidos.
A conexão do Troll Stealer com Kimsuky é inferida a partir de suas semelhanças com famílias de malware conhecidas como AppleSeed e AlphaSeed, ambas anteriormente vinculadas ao mesmo grupo de agentes de ameaças.
Índice
O Kimsuky é um Grupo de APT (Ameaça Persistente Avançada) Ativo
O Kimsuky, alternativamente identificado como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball e Velvet Chollima, é conhecido pela sua propensão para se envolver em operações cibernéticas ofensivas destinadas a roubar informações sensíveis e confidenciais.
Em Novembro de 2023, o Gabinete de Controlo de Activos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA impôs sanções a estes actores de ameaças pelo seu papel na recolha de informações para promover os objectivos estratégicos da Coreia do Norte.
Este grupo adversário também tem sido associado a ataques de spear-phishing direcionados a entidades sul-coreanas, utilizando vários backdoors, incluindo AppleSeed e AlphaSeed.
A Operação de Ataque que Implanta o Malware Troll Stealer
Um exame conduzido por pesquisadores de segurança cibernética revelou a utilização de um conta-gotas encarregado de implantar a ameaça de ladrão subsequente. O dropper se disfarça como um arquivo de instalação de um programa de segurança supostamente de uma empresa sul-coreana conhecida como SGA Solutions. Quanto ao nome do ladrão, ele é baseado no caminho ‘D:/~/repo/golang/src/root.go/s/troll/agent’ incorporado nele.
De acordo com os insights fornecidos por especialistas em segurança da informação, o dropper opera como um instalador legítimo em conjunto com o malware. Tanto o conta-gotas quanto o malware trazem a assinatura de um certificado válido da D2Innovation Co., LTD, indicando um possível roubo do certificado da empresa.
Uma característica notável do Troll Stealer é a sua capacidade de roubar a pasta GPKI em sistemas comprometidos, sugerindo a probabilidade de o malware ter sido utilizado em ataques dirigidos a organizações administrativas e públicas no país.
O Kimsiky pode Estar Evoluindo Suas Táticas e Seu Arsenal Ameaçador
À luz da ausência de campanhas Kimsuky documentadas envolvendo o roubo de pastas GPKI, há especulações de que o novo comportamento observado poderia significar uma mudança nas táticas ou nas ações de outro ator de ameaça intimamente afiliado ao grupo, potencialmente possuindo acesso ao código-fonte de AppleSeed e AlphaSeed.
As indicações também apontam para o envolvimento potencial do ator da ameaça em um backdoor baseado em Go chamado GoBear. Este backdoor é assinado com um certificado legítimo vinculado à D2Innovation Co., LTD e segue instruções de um servidor de Comando e Controle (C2).
Além disso, os nomes das funções no código do GoBear se sobrepõem aos comandos usados pelo BetaSeed, um malware backdoor baseado em C++ empregado pelo grupo Kimsuky. Notavelmente, GoBear introduz a funcionalidade de proxy SOCKS5, um recurso não presente anteriormente no malware backdoor associado ao grupo Kimsuky.
