Troll Stealer
Diễn viên quốc gia Kimsuky, có liên hệ với Triều Tiên, được cho là đã triển khai một phần mềm độc hại đánh cắp thông tin mới được xác định, Troll Stealer, được xây dựng trên ngôn ngữ lập trình Golang. Phần mềm đe dọa này được thiết kế để trích xuất nhiều loại dữ liệu nhạy cảm khác nhau, bao gồm thông tin xác thực SSH, thông tin FileZilla, tệp và thư mục từ ổ C, dữ liệu trình duyệt, chi tiết hệ thống và ảnh chụp màn hình, cùng những thứ khác, từ các hệ thống bị xâm nhập.
Mối liên hệ của Troll Stealer với Kimsuky được suy ra từ sự giống nhau của nó với các họ phần mềm độc hại nổi tiếng như AppleSeed và AlphaSeed, cả hai trước đây đều được liên kết với cùng một nhóm tác nhân đe dọa.
Mục lục
Kimsuky là một nhóm APT (Mối đe dọa liên tục nâng cao) đang hoạt động
Kimsuky, còn được xác định là APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (trước đây là Thallium), Nickel Kimball và Velvet Chollima, nổi tiếng với khuynh hướng tham gia vào các hoạt động tấn công mạng nhằm đánh cắp thông tin nhạy cảm và bí mật.
Vào tháng 11 năm 2023, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã áp dụng các biện pháp trừng phạt đối với những kẻ đe dọa này vì vai trò của chúng trong việc thu thập thông tin tình báo nhằm thúc đẩy các mục tiêu chiến lược của Triều Tiên.
Nhóm đối địch này cũng có liên quan đến các cuộc tấn công lừa đảo trực tiếp nhắm vào các thực thể Hàn Quốc, sử dụng nhiều cửa hậu khác nhau, bao gồm AppleSeed và AlphaSeed.
Chiến dịch tấn công triển khai phần mềm độc hại Troll Stealer
Một cuộc nghiên cứu được thực hiện bởi các nhà nghiên cứu an ninh mạng đã tiết lộ việc sử dụng một công cụ nhỏ giọt có nhiệm vụ triển khai mối đe dọa đánh cắp tiếp theo. Dropper cải trang thành một tệp cài đặt cho một chương trình bảo mật được cho là của một công ty Hàn Quốc có tên là SGA Solutions. Về tên của kẻ đánh cắp, nó dựa trên đường dẫn 'D:/~/repo/golang/src/root.go/s/troll/agent' được nhúng bên trong nó.
Theo thông tin chi tiết được cung cấp bởi các chuyên gia bảo mật thông tin, trình nhỏ giọt hoạt động như một trình cài đặt hợp pháp kết hợp với phần mềm độc hại. Cả thiết bị nhỏ giọt và phần mềm độc hại đều có chữ ký của chứng chỉ D2Innovation Co., LTD hợp lệ, cho thấy khả năng chứng chỉ của công ty bị đánh cắp.
Một đặc điểm đáng chú ý của Troll Stealer là khả năng lấy cắp thư mục GPKI trên các hệ thống bị xâm nhập, cho thấy có khả năng phần mềm độc hại đã được sử dụng trong các cuộc tấn công nhắm vào các tổ chức hành chính và công cộng trong nước.
Kimsiky có thể đang phát triển chiến thuật và đe dọa Arsenal
Do không có tài liệu về các chiến dịch của Kimsuky liên quan đến việc đánh cắp các thư mục GPKI, nên có suy đoán rằng hành vi mới được quan sát có thể biểu thị sự thay đổi trong chiến thuật hoặc hành động của một tác nhân đe dọa khác có liên kết chặt chẽ với nhóm, có khả năng sở hữu quyền truy cập vào mã nguồn. của AppleSeed và AlphaSeed.
Các dấu hiệu cũng chỉ ra sự liên quan tiềm tàng của tác nhân đe dọa trong một cửa hậu dựa trên Go có tên là GoBear. Cửa hậu này được ký bằng chứng chỉ hợp pháp được liên kết với D2Innovation Co., LTD và làm theo hướng dẫn từ máy chủ Chỉ huy và Kiểm soát (C2).
Hơn nữa, tên hàm trong mã của GoBear trùng lặp với các lệnh được sử dụng bởi BetaSeed, một phần mềm độc hại cửa sau dựa trên C++ được nhóm Kimsuky sử dụng. Đáng chú ý, GoBear giới thiệu chức năng proxy SOCKS5, một tính năng trước đây chưa có trong phần mềm độc hại cửa sau liên kết với nhóm Kimsuky.
