Troll Stealer
ఉత్తర కొరియాతో అనుబంధించబడిన జాతీయ-రాష్ట్ర నటుడు కిమ్సుకీ, గోలాంగ్ ప్రోగ్రామింగ్ భాషపై రూపొందించబడిన ట్రోల్ స్టీలర్ అనే మాల్వేర్ని కొత్తగా గుర్తించిన సమాచారాన్ని చోరీ చేసే మాల్వేర్ని మోహరించినట్లు నమ్ముతారు. ఈ బెదిరింపు సాఫ్ట్వేర్ SSH ఆధారాలు, FileZilla సమాచారం, C డ్రైవ్ నుండి ఫైల్లు మరియు డైరెక్టరీలు, బ్రౌజర్ డేటా, సిస్టమ్ వివరాలు మరియు స్క్రీన్ క్యాప్చర్లు, ఇతర విషయాలతోపాటు, రాజీపడిన సిస్టమ్ల నుండి వివిధ రకాల సున్నితమైన డేటాను సంగ్రహించడానికి రూపొందించబడింది.
Kimsukyకి ట్రోల్ స్టీలర్ యొక్క కనెక్షన్ AppleSeed మరియు AlphaSeed వంటి ప్రసిద్ధ మాల్వేర్ కుటుంబాలతో దాని పోలికలను బట్టి ఊహించబడింది, రెండూ గతంలో ఒకే ముప్పు నటుల సమూహంతో అనుసంధానించబడ్డాయి.
విషయ సూచిక
కిమ్సుకీ అనేది యాక్టివ్ APT (అధునాతన పెర్సిస్టెంట్ థ్రెట్) గ్రూప్
కిమ్సుకీ, ప్రత్యామ్నాయంగా APT43, ఆర్కిపెలాగో, బ్లాక్ బాన్షీ, ఎమరాల్డ్ స్లీట్ (గతంలో థాలియం), నికెల్ కింబాల్ మరియు వెల్వెట్ చోల్లిమాగా గుర్తించబడింది, సున్నితమైన మరియు రహస్య సమాచారాన్ని దొంగిలించే లక్ష్యంతో ప్రమాదకర సైబర్ కార్యకలాపాలలో నిమగ్నమవ్వడానికి ప్రసిద్ది చెందింది.
నవంబర్ 2023లో, US ట్రెజరీ డిపార్ట్మెంట్ ఆఫ్ ఫారిన్ అసెట్స్ కంట్రోల్ (OFAC) ఉత్తర కొరియా యొక్క వ్యూహాత్మక లక్ష్యాలను ముందుకు తీసుకెళ్లడానికి గూఢచారాన్ని సేకరించడంలో వారి పాత్ర కోసం ఈ ముప్పు నటులపై ఆంక్షలు విధించింది.
ఈ విరోధి సమూహం AppleSeed మరియు AlphaSeedతో సహా వివిధ బ్యాక్డోర్లను ఉపయోగించి దక్షిణ కొరియా సంస్థలపై స్పియర్-ఫిషింగ్ దాడులకు కూడా లింక్ చేయబడింది.
ట్రోల్ స్టీలర్ మాల్వేర్ను అమలు చేస్తున్న దాడి ఆపరేషన్
సైబర్ సెక్యూరిటీ పరిశోధకులచే నిర్వహించబడిన ఒక పరీక్ష, తదుపరి దొంగిలించే ముప్పును మోహరించే పనిలో ఉన్న డ్రాపర్ను ఉపయోగించినట్లు వెల్లడించింది. SGA సొల్యూషన్స్ అని పిలువబడే దక్షిణ కొరియా సంస్థ నుండి ఉద్దేశించిన భద్రతా ప్రోగ్రామ్ కోసం డ్రాపర్ ఇన్స్టాలేషన్ ఫైల్గా మారువేషంలో ఉంటాడు. దొంగిలించే వ్యక్తి పేరు విషయానికొస్తే, అది దానిలో పొందుపరిచిన 'D:/~/repo/golang/src/root.go/s/troll/agent' మార్గంపై ఆధారపడి ఉంటుంది.
సమాచార భద్రతా నిపుణులు అందించిన అంతర్దృష్టుల ప్రకారం, డ్రాపర్ మాల్వేర్తో కలిసి చట్టబద్ధమైన ఇన్స్టాలర్గా పనిచేస్తుంది. డ్రాపర్ మరియు మాల్వేర్ రెండూ చెల్లుబాటు అయ్యే D2Innovation Co., LTD సర్టిఫికేట్ యొక్క సంతకాన్ని కలిగి ఉంటాయి, ఇది కంపెనీ సర్టిఫికేట్ యొక్క సంభావ్య దొంగతనాన్ని సూచిస్తుంది.
ట్రోల్ స్టీలర్ యొక్క గుర్తించదగిన లక్షణం ఏమిటంటే, GPKI ఫోల్డర్ను రాజీపడిన సిస్టమ్లలో దొంగిలించగల సామర్థ్యం, దేశంలోని పరిపాలనా మరియు ప్రభుత్వ సంస్థలపై దాడులకు మాల్వేర్ ఉపయోగించబడిందని సూచిస్తుంది.
కిమ్సికీ వారి వ్యూహాలను అభివృద్ధి చేయడం మరియు ఆర్సెనల్ను బెదిరించడం కావచ్చు
GPKI ఫోల్డర్ల దొంగతనానికి సంబంధించిన డాక్యుమెంట్ చేయబడిన కిమ్సుకీ ప్రచారాలు లేనందున, గమనించిన కొత్త ప్రవర్తన వ్యూహాలలో మార్పు లేదా సమూహంతో సన్నిహితంగా అనుబంధంగా ఉన్న మరొక ముప్పు నటుడి చర్యలను సూచిస్తుందని ఊహాగానాలు ఉన్నాయి, సంభావ్యంగా సోర్స్ కోడ్కు ప్రాప్యతను కలిగి ఉంటాయి. AppleSeed మరియు AlphaSeed యొక్క.
గోబేర్ అనే గో-ఆధారిత బ్యాక్డోర్లో ముప్పు నటుడి సంభావ్య ప్రమేయం వైపు కూడా సూచనలు సూచిస్తున్నాయి. ఈ బ్యాక్డోర్ D2Innovation Co., LTDకి లింక్ చేయబడిన చట్టబద్ధమైన ప్రమాణపత్రంతో సంతకం చేయబడింది మరియు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి సూచనలను అనుసరిస్తుంది.
ఇంకా, GoBear కోడ్లోని ఫంక్షన్ పేర్లు బీటాసీడ్ ఉపయోగించే ఆదేశాలతో అతివ్యాప్తి చెందుతాయి, ఇది Kimsuky సమూహంచే ఉపయోగించబడే C++ ఆధారిత బ్యాక్డోర్ మాల్వేర్. ముఖ్యంగా, GoBear SOCKS5 ప్రాక్సీ ఫంక్షనాలిటీని పరిచయం చేసింది, ఇది Kimsuky సమూహంతో అనుబంధించబడిన బ్యాక్డోర్ మాల్వేర్లో గతంలో లేని ఫీచర్.
