Troll Stealer
เชื่อกันว่า Kimsuky นักแสดงระดับประเทศที่มีความเกี่ยวข้องกับเกาหลีเหนือ ได้ติดตั้งมัลแวร์ขโมยข้อมูลที่ระบุใหม่ นั่นคือ Troll Stealer ซึ่งสร้างขึ้นจากภาษาโปรแกรม Golang ซอฟต์แวร์คุกคามนี้ได้รับการออกแบบมาเพื่อแยกข้อมูลที่ละเอียดอ่อนประเภทต่างๆ รวมถึงข้อมูลประจำตัว SSH ข้อมูล FileZilla ไฟล์และไดเร็กทอรีจากไดรฟ์ C ข้อมูลเบราว์เซอร์ รายละเอียดระบบ และการจับภาพหน้าจอ เหนือสิ่งอื่นใด จากระบบที่ถูกบุกรุก
ความเชื่อมโยงของ Troll Stealer กับ Kimsuky นั้นอนุมานได้จากความคล้ายคลึงกับตระกูลมัลแวร์ชื่อดังอย่าง AppleSeed และ AlphaSeed ซึ่งก่อนหน้านี้ทั้งคู่เชื่อมโยงกับกลุ่มผู้คุกคามกลุ่มเดียวกัน
สารบัญ
Kimsuky เป็นกลุ่ม APT (ภัยคุกคามต่อเนื่องขั้นสูง) ที่กระตือรือร้น
Kimsuky หรืออีกชื่อหนึ่งคือ APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (เดิมชื่อ Thallium), Nickel Kimball และ Velvet Chollima มีชื่อเสียงในด้านความโน้มเอียงที่จะมีส่วนร่วมในปฏิบัติการทางไซเบอร์เชิงรุกโดยมุ่งเป้าไปที่การขโมยข้อมูลที่ละเอียดอ่อนและเป็นความลับ
ในเดือนพฤศจิกายน พ.ศ. 2566 สำนักงานควบคุมทรัพย์สินต่างประเทศ (OFAC) ของกระทรวงการคลังสหรัฐฯ ได้กดดันมาตรการคว่ำบาตรผู้แสดงภัยคุกคามเหล่านี้สำหรับบทบาทของพวกเขาในการรวบรวมข่าวกรองเพื่อพัฒนาเป้าหมายเชิงกลยุทธ์ของเกาหลีเหนือ
กลุ่มฝ่ายตรงข้ามนี้ยังเชื่อมโยงกับการโจมตีแบบฟิชชิ่งแบบหอกที่มุ่งเป้าไปที่หน่วยงานของเกาหลีใต้ โดยใช้แบ็คดอร์ต่างๆ รวมถึง AppleSeed และ AlphaSeed
ปฏิบัติการโจมตีที่ใช้มัลแวร์ Troll Stealer
การตรวจสอบที่ดำเนินการโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยการใช้งานของ Dropper ที่มอบหมายให้ปรับใช้ภัยคุกคามจากผู้ขโมยที่ตามมา Dropper ปลอมตัวเป็นไฟล์การติดตั้งสำหรับโปรแกรมรักษาความปลอดภัยที่อ้างว่ามาจากบริษัทเกาหลีใต้ที่รู้จักกันในชื่อ SGA Solutions สำหรับชื่อของผู้ขโมยนั้นจะขึ้นอยู่กับเส้นทาง 'D:/~/repo/golang/src/root.go/s/troll/agent' ที่ฝังอยู่ภายใน
ตามข้อมูลเชิงลึกที่ได้รับจากผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ตัวหยดจะทำหน้าที่เป็นผู้ติดตั้งที่ถูกต้องตามกฎหมายร่วมกับมัลแวร์ ทั้งหยดและมัลแวร์มีลายเซ็นของใบรับรอง D2Innovation Co., LTD ที่ถูกต้อง ซึ่งบ่งชี้ว่าใบรับรองของบริษัทอาจถูกขโมย
ลักษณะเด่นของ Troll Stealer คือความสามารถในการขโมยโฟลเดอร์ GPKI บนระบบที่ถูกบุกรุก ซึ่งบ่งบอกถึงความเป็นไปได้ที่มัลแวร์จะถูกนำมาใช้ในการโจมตีที่มุ่งเป้าไปที่องค์กรด้านการบริหารและสาธารณะภายในประเทศ
Kimsiky อาจกำลังพัฒนายุทธวิธีและคลังแสงที่คุกคาม
เนื่องจากไม่มีเอกสารแคมเปญ Kimsuky ที่เกี่ยวข้องกับการขโมยโฟลเดอร์ GPKI มีการคาดเดาว่าพฤติกรรมใหม่ที่สังเกตได้อาจบ่งบอกถึงการเปลี่ยนแปลงในยุทธวิธีหรือการกระทำของผู้คุกคามรายอื่นที่เกี่ยวข้องอย่างใกล้ชิดกับกลุ่ม ซึ่งอาจเข้าถึงซอร์สโค้ดได้ ของ AppleSeed และ AlphaSeed
สิ่งบ่งชี้ยังชี้ไปที่การมีส่วนร่วมของผู้คุกคามในแบ็คดอร์ Go-based ชื่อ GoBear แบ็คดอร์นี้ลงนามด้วยใบรับรองที่ถูกต้องซึ่งเชื่อมโยงกับ D2Innovation Co., LTD และปฏิบัติตามคำแนะนำจากเซิร์ฟเวอร์ Command-and-Control (C2)
นอกจากนี้ ชื่อฟังก์ชันภายในโค้ดของ GoBear ยังซ้อนทับกับคำสั่งที่ใช้โดย BetaSeed ซึ่งเป็นมัลแวร์ประตูหลังที่ใช้ C++ ซึ่งใช้งานโดยกลุ่ม Kimsuky โดยเฉพาะอย่างยิ่ง GoBear ขอแนะนำฟังก์ชันพร็อกซี SOCKS5 ซึ่งเป็นฟีเจอร์ที่ไม่เคยมีมาก่อนในมัลแวร์ประตูหลังที่เกี่ยวข้องกับกลุ่ม Kimsuky
