Troll Stealer

Predpokladá sa, že predstaviteľ národného štátu Kimsuky, spojený so Severnou Kóreou, nasadil novo identifikovaný malvér kradnúci informácie, zlodej trollov, postavený na programovacom jazyku Golang. Tento hrozivý softvér je navrhnutý na extrahovanie rôznych typov citlivých údajov vrátane poverení SSH, informácií FileZilla, súborov a adresárov z disku C, údajov prehliadača, systémových podrobností a snímok obrazovky, okrem iného, z napadnutých systémov.

Spojenie Troll Stealer s Kimsuky je odvodené z jeho podobností so známymi rodinami škodlivého softvéru, ako sú AppleSeed a AlphaSeed, ktoré boli predtým spojené s rovnakou skupinou aktérov hrozieb.

Kimsuky je aktívna skupina APT (Advanced Persistent Threat).

Kimsuky, alternatívne identifikovaný ako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (predtým Thallium), Nickel Kimball a Velvet Chollima, je známy svojou náchylnosťou zapojiť sa do útočných kybernetických operácií zameraných na krádež citlivých a dôverných informácií.

V novembri 2023 Úrad pre kontrolu zahraničných aktív (OFAC) ministerstva financií USA uvalil sankcie na týchto aktérov hrozieb za ich úlohu pri zhromažďovaní spravodajských informácií s cieľom presadzovať strategické ciele Severnej Kórey.

Táto nepriateľská skupina bola tiež spájaná s útokmi typu spear-phishing namierenými proti juhokórejským subjektom, pričom využívala rôzne zadné vrátka, vrátane AppleSeed a AlphaSeed.

Útočná operácia Nasadenie škodlivého softvéru Troll Stealer

Prieskum, ktorý vykonali výskumníci v oblasti kybernetickej bezpečnosti, odhalil použitie kvapkadla, ktorého úlohou je rozmiestniť následnú hrozbu zlodejov. Kvapkadlo sa maskuje ako inštalačný súbor pre bezpečnostný program údajne od juhokórejskej firmy známej ako SGA Solutions. Pokiaľ ide o meno zlodeja, je založené na ceste 'D:/~/repo/golang/src/root.go/s/troll/agent', ktorá je v ňom vložená.

Podľa informácií poskytnutých odborníkmi na informačnú bezpečnosť funguje kvapkadlo ako legitímny inštalátor v spojení s malvérom. Kvapkadlo aj malvér nesú podpis platného certifikátu D2Innovation Co., LTD, čo naznačuje možnú krádež certifikátu spoločnosti.

Pozoruhodnou vlastnosťou Troll Stealer je jeho schopnosť ukradnúť priečinok GPKI na kompromitovaných systémoch, čo naznačuje pravdepodobnosť, že malvér bol použitý pri útokoch zameraných na administratívne a verejné organizácie v krajine.

Kimsiky môžu vyvíjať svoju taktiku a ohrozovať arzenál

Vzhľadom na absenciu zdokumentovaných kampaní Kimsuky, ktoré by zahŕňali krádež priečinkov GPKI, existujú špekulácie, že pozorované nové správanie by mohlo znamenať posun v taktike alebo činnosti iného aktéra hrozby úzko prepojeného so skupinou, ktorý má potenciálne prístup k zdrojovému kódu. AppleSeed a AlphaSeed.

Indície tiež poukazujú na potenciálne zapojenie aktéra hrozby do backdoor Go-based s názvom GoBear. Tento backdoor je podpísaný legitímnym certifikátom prepojeným s D2Innovation Co., LTD a riadi sa pokynmi zo servera Command-and-Control (C2).

Okrem toho sa názvy funkcií v kóde GoBear prekrývajú s príkazmi používanými BetaSeed, backdoor malvérom založeným na C++, ktorý používa skupina Kimsuky. Predovšetkým GoBear predstavuje funkciu proxy SOCKS5, funkciu, ktorá sa predtým nenachádzala v backdoor malvéri spojenom so skupinou Kimsuky.