Troll vjedhës
Aktori i shtetit kombëtar Kimsuky, i lidhur me Korenë e Veriut, besohet se ka vendosur një malware të sapoidentifikuar për vjedhjen e informacionit, Troll Stealer, i ndërtuar në gjuhën e programimit Golang. Ky softuer kërcënues është krijuar për të nxjerrë lloje të ndryshme të dhënash të ndjeshme, duke përfshirë kredencialet SSH, informacionin e FileZilla, skedarët dhe drejtoritë nga disku C, të dhënat e shfletuesit, detajet e sistemit dhe kapjet e ekranit, ndër të tjera, nga sistemet e komprometuara.
Lidhja e Troll Stealer me Kimsuky konkludohet nga ngjashmëritë e tij me familjet e njohura të malware si AppleSeed dhe AlphaSeed, të dyja të lidhura më parë me të njëjtin grup aktorësh kërcënimi.
Tabela e Përmbajtjes
Kimsuky është një grup aktiv APT (Kërcënim i Përparuar i Përparuar).
Kimsuky, i identifikuar në mënyrë alternative si APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ish Thallium), Nickel Kimball dhe Velvet Chollima, është i njohur për prirjen e tij për t'u përfshirë në operacione fyese kibernetike që synojnë vjedhjen e informacionit të ndjeshëm dhe konfidencial.
Në nëntor 2023, Zyra e Departamentit të Thesarit të SHBA-së për Kontrollin e Pasurive të Huaja (OFAC) vendosi sanksione ndaj këtyre aktorëve të kërcënimit për rolin e tyre në mbledhjen e inteligjencës për të çuar përpara qëllimet strategjike të Koresë së Veriut.
Ky grup kundërshtar ka qenë gjithashtu i lidhur me sulme spear-phishing të drejtuara ndaj subjekteve të Koresë së Jugut, duke shfrytëzuar prapambetura të ndryshme, duke përfshirë AppleSeed dhe AlphaSeed.
Operacioni i sulmit që vendos malware-in e vjedhësit të trollit
Një ekzaminim i kryer nga studiues të sigurisë kibernetike ka zbuluar përdorimin e një pikatore të ngarkuar me vendosjen e kërcënimit pasues të vjedhësit. Pikatori maskohet si një skedar instalimi për një program sigurie që supozohet se është nga një firmë koreano-jugore e njohur si SGA Solutions. Sa i përket emrit të vjedhësit, ai bazohet në shtegun 'D:/~/repo/golang/src/root.go/s/troll/agent' të ngulitur brenda tij.
Sipas njohurive të ofruara nga ekspertët e sigurisë së informacionit, dropper funksionon si një instalues legjitim në lidhje me malware. Si pikatore ashtu edhe malware mbajnë nënshkrimin e një certifikate të vlefshme D2Innovation Co., LTD, që tregon një vjedhje të mundshme të certifikatës së kompanisë.
Një karakteristikë e dukshme e Troll Stealer është aftësia e tij për të grabitur dosjen GPKI në sistemet e komprometuara, duke lënë të kuptohet se ka gjasa që malware të jetë përdorur në sulme të drejtuara ndaj organizatave administrative dhe publike brenda vendit.
Kimsiky mund të jetë duke evoluar taktikat e tyre dhe duke kërcënuar Arsenalin
Në dritën e mungesës së fushatave të dokumentuara të Kimsuky që përfshijnë vjedhjen e dosjeve GPKI, ka spekulime se sjellja e re e vëzhguar mund të nënkuptojë një ndryshim në taktikat ose veprimet e një aktori tjetër kërcënimi të lidhur ngushtë me grupin, që mund të ketë akses në kodin burimor e AppleSeed dhe AlphaSeed.
Indikacionet tregojnë gjithashtu për përfshirjen e mundshme të aktorit të kërcënimit në një derë të pasme të bazuar në Go të quajtur GoBear. Kjo backdoor është nënshkruar me një certifikatë legjitime të lidhur me D2Innovation Co., LTD dhe ndjek udhëzimet nga një server Command-and-Control (C2).
Për më tepër, emrat e funksioneve brenda kodit të GoBear mbivendosen me komandat e përdorura nga BetaSeed, një malware me bazë C++, i përdorur nga grupi Kimsuky. Veçanërisht, GoBear prezanton funksionalitetin e proxy SOCKS5, një veçori jo e pranishme më parë në malware-in e pasme të lidhur me grupin Kimsuky.
