Troll Stealer

வட கொரியாவுடன் தொடர்புடைய தேசிய-அரசு நடிகர் கிம்சுகி, கோலாங் நிரலாக்க மொழியில் கட்டமைக்கப்பட்ட, புதிதாக அடையாளம் காணப்பட்ட தகவல்-திருடும் தீம்பொருளான ட்ரோல் ஸ்டீலர் பயன்படுத்தியதாக நம்பப்படுகிறது. இந்த அச்சுறுத்தும் மென்பொருளானது, SSH நற்சான்றிதழ்கள், FileZilla தகவல், கோப்புகள் மற்றும் C டிரைவிலிருந்து கோப்பகங்கள், உலாவி தரவு, கணினி விவரங்கள் மற்றும் ஸ்கிரீன் கேப்சர்கள் உள்ளிட்ட பல்வேறு வகையான முக்கியமான தரவுகளைப் பிரித்தெடுக்க வடிவமைக்கப்பட்டுள்ளது.

கிம்சுகி உடனான ட்ரோல் ஸ்டீலரின் இணைப்பு AppleSeed மற்றும் AlphaSeed போன்ற நன்கு அறியப்பட்ட தீம்பொருள் குடும்பங்களுடனான அதன் ஒற்றுமையிலிருந்து ஊகிக்கப்படுகிறது, இவை இரண்டும் முன்பு அதே அச்சுறுத்தல் நடிகர் குழுவுடன் இணைக்கப்பட்டுள்ளன.

கிம்சுகி ஒரு செயலில் உள்ள APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) குழு

APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (முன்னர் தாலியம்), நிக்கல் கிம்பால் மற்றும் Velvet Chollima என மாற்றாக அடையாளம் காணப்பட்ட கிம்சுகி, முக்கியமான மற்றும் ரகசியத் தகவல்களைத் திருடுவதை நோக்கமாகக் கொண்ட தாக்குதல் சைபர் நடவடிக்கைகளில் ஈடுபடுவதற்குப் புகழ்பெற்றது.

நவம்பர் 2023 இல், அமெரிக்க கருவூலத் துறையின் வெளிநாட்டு சொத்துக் கட்டுப்பாட்டு அலுவலகம் (OFAC) வட கொரியாவின் மூலோபாய இலக்குகளை முன்னேற்றுவதற்கு உளவுத்துறையைச் சேகரிப்பதில் அவர்களின் பங்கிற்காக இந்த அச்சுறுத்தல் நடிகர்கள் மீது பொருளாதாரத் தடைகளை அழுத்தியது.

AppleSeed மற்றும் AlphaSeed உட்பட பல்வேறு பின்கதவுகளைப் பயன்படுத்தி, தென் கொரிய நிறுவனங்களை இலக்காகக் கொண்ட ஈட்டி-ஃபிஷிங் தாக்குதல்களுடன் இந்த எதிரி குழுவும் இணைக்கப்பட்டுள்ளது.

அட்டாக் ஆபரேஷன் ட்ரோல் ஸ்டீலர் மால்வேரைப் பயன்படுத்துகிறது

சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்களால் நடத்தப்பட்ட ஒரு ஆய்வில், அடுத்தடுத்த திருடுபவர் அச்சுறுத்தலைப் பயன்படுத்துவதற்கான ஒரு துளிசொட்டியின் பயன்பாடு தெரியவந்துள்ளது. SGA சொல்யூஷன்ஸ் எனப்படும் தென் கொரிய நிறுவனத்தில் இருந்து கூறப்படும் பாதுகாப்பு திட்டத்திற்கான நிறுவல் கோப்பாக டிராப்பர் மாறுவேடமிடுகிறார். திருடப்பட்டவரின் பெயரைப் பொறுத்தவரை, அது 'D:/~/repo/golang/src/root.go/s/troll/agent' என்ற பாதையை அடிப்படையாகக் கொண்டது.

தகவல் பாதுகாப்பு நிபுணர்கள் வழங்கிய நுண்ணறிவுகளின்படி, டிராப்பர் தீம்பொருளுடன் இணைந்து முறையான நிறுவியாக செயல்படுகிறது. டிராப்பர் மற்றும் மால்வேர் ஆகிய இரண்டும் செல்லுபடியாகும் D2Innovation Co., LTD சான்றிதழின் கையொப்பத்தைக் கொண்டுள்ளன, இது நிறுவனத்தின் சான்றிதழின் சாத்தியமான திருடனைக் குறிக்கிறது.

ட்ரோல் ஸ்டீலரின் குறிப்பிடத்தக்க சிறப்பியல்பு, சமரசம் செய்யப்பட்ட கணினிகளில் GPKI கோப்புறையைத் திருடுவதற்கான அதன் திறன் ஆகும், இது தீம்பொருள் நாட்டிற்குள் உள்ள நிர்வாக மற்றும் பொது அமைப்புகளை இலக்காகக் கொண்ட தாக்குதல்களில் பயன்படுத்தப்பட்டிருப்பதைக் குறிக்கிறது.

கிம்சிகி அவர்களின் தந்திரோபாயங்களை உருவாக்கி ஆயுதக் களஞ்சியத்தை அச்சுறுத்தலாம்

GPKI கோப்புறைகளின் திருட்டு தொடர்பான ஆவணப்படுத்தப்பட்ட கிம்சுகி பிரச்சாரங்கள் இல்லாத நிலையில், கவனிக்கப்பட்ட புதிய நடத்தை தந்திரோபாயங்களில் மாற்றம் அல்லது குழுவுடன் நெருக்கமாக இணைந்த மற்றொரு அச்சுறுத்தல் நடிகரின் செயல்களைக் குறிக்கலாம் என்று ஊகங்கள் உள்ளன. AppleSeed மற்றும் AlphaSeed இன்.

GoBear என்ற பெயரிடப்பட்ட கோ அடிப்படையிலான பின்கதவில் அச்சுறுத்தல் நடிகரின் சாத்தியமான ஈடுபாட்டையும் அறிகுறிகள் சுட்டிக்காட்டுகின்றன. இந்த பின்கதவு D2Innovation Co., LTD உடன் இணைக்கப்பட்ட முறையான சான்றிதழுடன் கையொப்பமிடப்பட்டுள்ளது மற்றும் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்தின் வழிமுறைகளைப் பின்பற்றுகிறது.

மேலும், GoBear இன் குறியீட்டில் உள்ள செயல்பாட்டுப் பெயர்கள், Kimsuky குழுவால் பயன்படுத்தப்படும் C++-அடிப்படையிலான பின்கதவு தீம்பொருளான BetaSeed பயன்படுத்தும் கட்டளைகளுடன் மேலெழுகிறது. குறிப்பிடத்தக்க வகையில், GoBear SOCKS5 ப்ராக்ஸி செயல்பாட்டை அறிமுகப்படுத்துகிறது, இது Kimsuky குழுவுடன் தொடர்புடைய பின்கதவு தீம்பொருளில் முன்பு இல்லாத அம்சமாகும்.