Troll Stealer
Ang aktor ng bansang estado na si Kimsuky, na nauugnay sa North Korea, ay pinaniniwalaang nag-deploy ng bagong natukoy na malware sa pagnanakaw ng impormasyon, ang Troll Stealer, na binuo sa programming language ng Golang. Ang nagbabantang software na ito ay idinisenyo upang kunin ang iba't ibang uri ng sensitibong data, kabilang ang mga kredensyal ng SSH, impormasyon ng FileZilla, mga file at direktoryo mula sa C drive, data ng browser, mga detalye ng system, at mga screen capture, bukod sa iba pang mga bagay, mula sa mga nakompromisong system.
Ang koneksyon ng Troll Stealer sa Kimsuky ay nahihinuha mula sa mga pagkakahawig nito sa mga kilalang pamilya ng malware tulad ng AppleSeed at AlphaSeed, na parehong naka-link sa parehong grupo ng aktor ng banta.
Talaan ng mga Nilalaman
Ang Kimsuky ay isang Aktibong APT (Advanced Persistent Threat) na Grupo
Ang Kimsuky, bilang alternatibong kinilala bilang APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dating Thallium), Nickel Kimball, at Velvet Chollima, ay kilala sa pagiging madali nitong makisali sa mga nakakasakit na operasyong cyber na naglalayong mang-agaw ng sensitibo at kumpidensyal na impormasyon.
Noong Nobyembre 2023, ang Office of Foreign Assets Control (OFAC) ng US Treasury Department ay nagpilit ng mga parusa sa mga banta na aktor na ito para sa kanilang papel sa pangangalap ng intelligence para isulong ang mga madiskarteng layunin ng North Korea.
Na-link din ang adversarial group na ito sa mga spear-phishing na pag-atake na nakadirekta sa mga entity ng South Korea, na gumagamit ng iba't ibang backdoors, kabilang ang AppleSeed at AlphaSeed.
Ang Attack Operation na Nagde-deploy ng Troll Stealer Malware
Ang isang pagsusuri na isinagawa ng mga mananaliksik sa cybersecurity ay nagsiwalat ng paggamit ng isang dropper na nakatalaga sa pag-deploy ng kasunod na banta ng magnanakaw. Ang dropper ay nagkukunwari bilang isang installation file para sa isang security program na sinasabing mula sa isang South Korean firm na kilala bilang SGA Solutions. Tulad ng para sa pangalan ng magnanakaw, ito ay batay sa landas na 'D:/~/repo/golang/src/root.go/s/troll/agent' na naka-embed sa loob nito.
Ayon sa mga insight na ibinigay ng mga eksperto sa seguridad ng impormasyon, gumagana ang dropper bilang isang lehitimong installer kasabay ng malware. Parehong ang dropper at ang malware ay may pirma ng isang wastong sertipiko ng D2Innovation Co., LTD, na nagpapahiwatig ng potensyal na pagnanakaw ng sertipiko ng kumpanya.
Ang isang kapansin-pansing katangian ng Troll Stealer ay ang kakayahang kunin ang folder ng GPKI sa mga nakompromisong system, na nagpapahiwatig ng posibilidad na ang malware ay ginamit sa mga pag-atake na nakadirekta sa mga administratibo at pampublikong organisasyon sa loob ng bansa.
Maaaring Binabago ni Kimsiky ang Kanilang Mga Taktika at Pagbabanta sa Arsenal
Dahil sa kawalan ng mga dokumentadong Kimsuky campaign na kinasasangkutan ng pagnanakaw ng mga folder ng GPKI, may haka-haka na ang naobserbahang bagong pag-uugali ay maaaring magpahiwatig ng pagbabago sa mga taktika o mga aksyon ng isa pang banta na aktor na malapit na nauugnay sa grupo, na posibleng magkaroon ng access sa source code ng AppleSeed at AlphaSeed.
Tinutukoy din ng mga indikasyon ang potensyal na pagkakasangkot ng aktor ng pagbabanta sa isang backdoor na nakabase sa Go na pinangalanang GoBear. Ang backdoor na ito ay nilagdaan ng isang lehitimong certificate na naka-link sa D2Innovation Co., LTD at sumusunod sa mga tagubilin mula sa isang Command-and-Control (C2) server.
Higit pa rito, ang mga pangalan ng function sa loob ng code ng GoBear ay nagsasapawan sa mga utos na ginamit ng BetaSeed, isang backdoor malware na nakabase sa C++ na ginagamit ng grupong Kimsuky. Kapansin-pansin, ipinakilala ng GoBear ang SOCKS5 proxy functionality, isang feature na hindi pa nakikita sa backdoor malware na nauugnay sa Kimsuky group.
