Troll Stealer

据信，与朝鲜有联系的民族国家演员 Kimsuky 部署了一种新发现的信息窃取恶意软件，即基于 Golang 编程语言构建的 Troll Stealer。这种威胁软件旨在从受感染的系统中提取各种类型的敏感数据，包括 SSH 凭据、FileZilla 信息、C 驱动器中的文件和目录、浏览器数据、系统详细信息和屏幕截图等。

Troll Stealer 与 Kimsuky 的联系是从其与 AppleSeed 和 AlphaSeed 等知名恶意软件家族的相似性推断出来的，这两个恶意软件家族此前都与同一威胁组织有关。

Kimsuky 是一个活跃的 APT（高级持续威胁）组织

Kimsuky，也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet（以前称为铊）、Nickel Kimball 和 Velvet Chollima，因其倾向于参与旨在窃取敏感和机密信息的攻击性网络行动而闻名。

2023 年 11 月，美国财政部外国资产控制办公室 (OFAC) 对这些威胁行为者实施制裁，因为他们在收集情报以推进朝鲜战略目标方面发挥了作用。

该敌对组织还与利用 AppleSeed 和 AlphaSeed 等各种后门针对韩国实体的鱼叉式网络钓鱼攻击有关。

部署 Troll Stealer 恶意软件的攻击行动

网络安全研究人员进行的一项检查显示，使用了一个负责部署后续窃取者威胁的植入程序。该植入程序将自己伪装成一个安全程序的安装文件，据称该程序来自一家名为 SGA Solutions 的韩国公司。至于窃取者的名称，它是基于其中嵌入的路径“D:/~/repo/golang/src/root.go/s/troll/agent”。

根据信息安全专家提供的见解，该植入程序作为合法安装程序与恶意软件一起运行。该植入程序和恶意软件都带有有效的 D2Innovation Co., LTD 证书签名，表明该公司的证书可能被盗。

Troll Stealer 的一个显着特征是它能够窃取受感染系统上的 GPKI 文件夹，这暗示该恶意软件可能已被用于针对国内行政和公共组织的攻击。

金西基可能正在改变他们的战术并威胁阿森纳

鉴于没有记录到涉及盗窃 GPKI 文件夹的 Kimsuky 活动，有人猜测观察到的新行为可能意味着与该组织密切相关的另一个威胁行为者的策略或行动发生了变化，可能拥有对源代码的访问权限AppleSeed 和 AlphaSeed。

还有迹象表明，威胁行为者可能参与名为 GoBear 的基于 Go 的后门。该后门使用链接到 D2Innovation Co., LTD 的合法证书进行签名，并遵循命令与控制 (C2) 服务器的指令。

此外，GoBear 代码中的函数名称与 BetaSeed（Kimsuky 组织使用的基于 C++ 的后门恶意软件）使用的命令重叠。值得注意的是，GoBear 引入了 SOCKS5 代理功能，该功能以前在与 Kimsuky 组织相关的后门恶意软件中不存在。