Durian Malware
Севернокорейската група за заплахи Kimsuky наскоро използва нов базиран на Golang злонамерен софтуер, наречен Durian, в конкретни кибер операции, насочени към две южнокорейски компании за криптовалута. Durian е усъвършенстван злонамерен софтуер с широки възможности за задната вратичка, което му позволява да изпълнява команди, да изтегля файлове и да събира данни от компрометирани системи.
Съдържание
Инфекционен вектор за доставка на зловреден софтуер Durian
Инцидентите се случиха през август и ноември 2023 г. и включваха използване на законен софтуер, който е ексклузивен за Южна Корея, като метод за заразяване. Конкретният метод, използван за използване на този софтуер, все още не е напълно разкрит от изследователите.
Разбираемо е, че този софтуер установява комуникация със сървъра на атакуващия, който след това извлича опасен полезен товар, за да инициира процеса на заразяване. Първоначалният етап действа като инсталатор за по-нататъшен зловреден софтуер и установява устойчивост на засегнатия хост. Той също така улеснява внедряването на злонамерен софтуер за зареждане, който в крайна сметка задейства изпълнението на Durian.
Допълнителен зловреден софтуер, използван от нападатели заедно с Durian
Нападателите използват Durian, за да разположат допълнителен злонамерен софтуер, включително AppleSeed (предпочитаната задна врата на Kimsuky), персонализиран прокси инструмент, наречен LazyLoad, заедно с легитимни инструменти като ngrok и Chrome Remote Desktop. Целта беше да се откраднат данни, съхранявани в браузъра, като бисквитки и идентификационни данни за вход.
Интересен момент в атаката е използването на LazyLoad, свързан преди това с Andariel , подгрупа в L azarus Group . Това предполага потенциално сътрудничество или тактическо привеждане в съответствие между тези участници в заплахата.
Kimsuky остава основен играч на сцената на киберпрестъпленията
Групата Kimsuky, активна най-малко от 2012 г., е известна и с различни псевдоними, включително APT43, Black Banshee, Emerald Sleet (бивш Thallium), Springtail, TA427 и Velvet Chollima. Смята се, че работи под 63-ия изследователски център, подразделение на Главното разузнавателно бюро (RGB), най-висшата военна разузнавателна организация на Северна Корея.
Според съвместно предупреждение на Федералното бюро за разследване на САЩ (ФБР) и Агенцията за национална сигурност (NSA), основната цел на Кимсуки е да предостави откраднати данни и геополитически прозрения на севернокорейския режим. Те постигат това чрез компрометиране на политически анализатори и експерти. Успешните компромиси позволяват на актьорите от Kimsuky да разработят по-убедителни фишинг имейли за насочване към хора с по-висока стойност.
Kimsuky също е свързан с кампании, включващи базиран на C# троянски кон за отдалечен достъп и събирач на информация, известен като TutorialRAT. Този зловреден софтуер използва Dropbox като платформа за стартиране на атаки, целящи да избегнат откриването на заплахи. Тази кампания, напомняща на кампанията за заплахи BabyShark на APT43, използва обичайни техники за фишинг, включително използването на преки пътища (LNK) файлове.
