Troll Stealer
Den nationalstatliga skådespelaren Kimsuky, associerad med Nordkorea, tros ha distribuerat en nyligen identifierad skadlig programvara som stjäl information, Troll Stealer, byggd på programmeringsspråket Golang. Denna hotfulla programvara är utformad för att extrahera olika typer av känslig data, inklusive SSH-uppgifter, FileZilla-information, filer och kataloger från C-enheten, webbläsardata, systemdetaljer och skärmdumpar, bland annat från komprometterade system.
Troll Stealers koppling till Kimsuky härleds från dess likheter med välkända malware-familjer som AppleSeed och AlphaSeed, båda tidigare kopplade till samma hot-aktörsgrupp.
Innehållsförteckning
Kimsuky är en aktiv APT-grupp (Advanced Persistent Threat).
Kimsuky, alternativt identifierad som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidigare Thallium), Nickel Kimball och Velvet Chollima, är känd för sin benägenhet att engagera sig i offensiva cyberoperationer som syftar till att stjäla känslig och konfidentiell information.
I november 2023 pressade det amerikanska finansdepartementets kontor för kontroll av utländska tillgångar (OFAC) sanktioner mot dessa hotaktörer för deras roll i att samla in underrättelser för att främja Nordkoreas strategiska mål.
Denna motståndsgrupp har också kopplats till spjutfiske-attacker riktade mot sydkoreanska enheter, med hjälp av olika bakdörrar, inklusive AppleSeed och AlphaSeed.
Attackoperationen som distribuerar Troll Stealer Malware
En undersökning utförd av cybersäkerhetsforskare har avslöjat användningen av en dropper som har till uppgift att distribuera det efterföljande tjuverhotet. Droppern klär ut sig som en installationsfil för ett säkerhetsprogram som påstås komma från ett sydkoreanskt företag känt som SGA Solutions. När det gäller namnet på stjälaren är det baserat på sökvägen 'D:/~/repo/golang/src/root.go/s/troll/agent' inbäddad i den.
Enligt insikterna från informationssäkerhetsexperter fungerar dropparen som en legitim installatör i samband med skadlig programvara. Både dropparen och skadlig programvara bär signaturen av ett giltigt D2Innovation Co., LTD-certifikat, vilket indikerar en potentiell stöld av företagets certifikat.
En anmärkningsvärd egenskap hos Troll Stealer är dess förmåga att stjäla GPKI-mappen på komprometterade system, vilket tyder på sannolikheten att skadlig programvara har använts i attacker riktade mot administrativa och offentliga organisationer i landet.
Kimsiky kanske utvecklar sin taktik och hotar Arsenal
I ljuset av frånvaron av dokumenterade Kimsuky-kampanjer som involverar stöld av GPKI-mappar, finns det spekulationer om att det observerade nya beteendet kan betyda en förändring i taktik eller handlingar från en annan hotaktör som är nära knuten till gruppen, som potentiellt har tillgång till källkoden av AppleSeed och AlphaSeed.
Indikationer pekar också på den potentiella inblandningen av hotaktören i en Go-baserad bakdörr som heter GoBear. Denna bakdörr är signerad med ett legitimt certifikat kopplat till D2Innovation Co., LTD och följer instruktioner från en Command-and-Control-server (C2).
Dessutom överlappar funktionsnamnen i GoBears kod kommandon som används av BetaSeed, en C++-baserad bakdörr skadlig kod som används av Kimsuky-gruppen. GoBear introducerar SOCKS5-proxyfunktionalitet, en funktion som inte tidigare fanns i bakdörrens skadlig kod som är associerad med Kimsuky-gruppen.
