Troll Stealer
Националният държавен актьор Kimsuky, свързан със Северна Корея, се смята, че е внедрил новоидентифициран зловреден софтуер за кражба на информация, Troll Stealer, изграден на езика за програмиране Golang. Този заплашителен софтуер е предназначен да извлича различни видове чувствителни данни, включително идентификационни данни за SSH, информация за FileZilla, файлове и директории от C устройство, данни на браузъра, системни подробности и екранни снимки, наред с други неща, от компрометирани системи.
Връзката на Troll Stealer с Kimsuky се предполага от приликите му с добре познати фамилии злонамерен софтуер като AppleSeed и AlphaSeed, и двете преди това свързани с една и съща група актьори за заплаха.
Съдържание
Kimsuky е активна APT (Advanced Persistent Threat) група
Kimsuky, алтернативно идентифициран като APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (бивш Thallium), Nickel Kimball и Velvet Chollima, е известен със склонността си да участва в офанзивни кибер операции, насочени към кражба на чувствителна и поверителна информация.
През ноември 2023 г. Службата за контрол на чуждестранните активи (OFAC) на Министерството на финансите на САЩ наложи санкции на тези участници в заплахата за ролята им в събирането на разузнавателна информация за постигане на стратегическите цели на Северна Корея.
Тази враждебна група също е свързана с фишинг атаки, насочени към южнокорейски субекти, използвайки различни задни вратички, включително AppleSeed и AlphaSeed.
Операцията на атаката с внедряване на злонамерения софтуер Troll Stealer
Проверка, проведена от изследователи по киберсигурност, разкри използването на капкомер, натоварен с разгръщането на последващата заплаха от крадец. Капкомерът се маскира като инсталационен файл за програма за сигурност, за която се твърди, че е от южнокорейска фирма, известна като SGA Solutions. Що се отнася до името на крадещия, то се основава на пътя „D:/~/repo/golang/src/root.go/s/troll/agent“, вграден в него.
Според прозренията, предоставени от експерти по информационна сигурност, капкомерът работи като легитимен инсталатор във връзка със зловреден софтуер. Както капкомерът, така и зловредният софтуер носят подписа на валиден сертификат на D2Innovation Co., LTD, което показва потенциална кражба на сертификата на компанията.
Забележителна характеристика на Troll Stealer е способността му да краде папката GPKI на компрометирани системи, намеквайки за вероятността зловредният софтуер да е бил използван при атаки, насочени към административни и обществени организации в страната.
Kimsiky може да развива тактиката си и да заплашва Арсенал
В светлината на липсата на документирани кампании на Kimsuky, включващи кражба на папки GPKI, има спекулации, че наблюдаваното ново поведение може да означава промяна в тактиката или действията на друга заплаха, тясно свързана с групата, потенциално притежаваща достъп до изходния код на AppleSeed и AlphaSeed.
Индикациите също сочат към потенциалното участие на заплахата в базирана на Go задна врата, наречена GoBear. Тази задна врата е подписана с легитимен сертификат, свързан с D2Innovation Co., LTD, и следва инструкции от сървър за командване и управление (C2).
Освен това имената на функциите в кода на GoBear се припокриват с команди, използвани от BetaSeed, базиран на C++ злонамерен софтуер за задната врата, използван от групата Kimsuky. За отбелязване е, че GoBear въвежда SOCKS5 прокси функционалност, функция, която не е присъствала преди в злонамерения софтуер за задната врата, свързан с групата Kimsuky.
