trollstealer

উত্তর কোরিয়ার সাথে যুক্ত জাতি-রাষ্ট্র অভিনেতা কিমসুকি, গোলং প্রোগ্রামিং ভাষার উপর নির্মিত একটি নতুন চিহ্নিত তথ্য-চুরিকারী ম্যালওয়্যার, ট্রল স্টিলার স্থাপন করেছে বলে মনে করা হয়। এই হুমকি সফ্টওয়্যারটি বিভিন্ন ধরণের সংবেদনশীল ডেটা বের করার জন্য ডিজাইন করা হয়েছে, যার মধ্যে SSH শংসাপত্র, FileZilla তথ্য, C ড্রাইভ থেকে ফাইল এবং ডিরেক্টরি, ব্রাউজার ডেটা, সিস্টেমের বিশদ এবং স্ক্রিন ক্যাপচার, অন্যান্য জিনিসগুলির মধ্যে, আপস করা সিস্টেমগুলি থেকে।

কিমসুকির সাথে ট্রল স্টিলারের সংযোগটি AppleSeed এবং AlphaSeed এর মতো সুপরিচিত ম্যালওয়্যার পরিবারের সাথে এর সাদৃশ্য থেকে অনুমান করা হয়, উভয়ই পূর্বে একই হুমকি অভিনেতা গোষ্ঠীর সাথে যুক্ত ছিল।

কিমসুকি একটি সক্রিয় এপিটি (অ্যাডভান্সড পারসিস্টেন্ট থ্রেট) গ্রুপ

কিমসুকি, বিকল্পভাবে APT43, ArchipelaGO, Black Banshee, Emerald Sleet (পূর্বে Thallium), Nickel Kimball, এবং Velvet Chollima হিসাবে চিহ্নিত, সংবেদনশীল এবং গোপনীয় তথ্য চুরির লক্ষ্যে আক্রমণাত্মক সাইবার অপারেশনে জড়িত হওয়ার প্রবণতার জন্য বিখ্যাত।

2023 সালের নভেম্বরে, মার্কিন ট্রেজারি ডিপার্টমেন্টের ফরেন অ্যাসেট কন্ট্রোল অফিস (OFAC) উত্তর কোরিয়ার কৌশলগত লক্ষ্যগুলিকে এগিয়ে নেওয়ার জন্য গোয়েন্দা তথ্য সংগ্রহে তাদের ভূমিকার জন্য এই হুমকি অভিনেতাদের উপর নিষেধাজ্ঞা আরোপ করেছিল।

এই প্রতিপক্ষ গ্রুপটি দক্ষিণ কোরিয়ার সত্ত্বাগুলিতে পরিচালিত বর্শা-ফিশিং আক্রমণের সাথেও যুক্ত হয়েছে, অ্যাপলসিড এবং আলফাসিড সহ বিভিন্ন পিছনের দরজা ব্যবহার করে।

Troll Stealer ম্যালওয়্যার স্থাপন করা আক্রমণ অপারেশন

সাইবারসিকিউরিটি গবেষকদের দ্বারা পরিচালিত একটি পরীক্ষায় পরবর্তী চুরিকারী হুমকি মোতায়েন করার জন্য একটি ড্রপারের ব্যবহার প্রকাশ করা হয়েছে। ড্রপারটি SGA সলিউশন নামে পরিচিত একটি দক্ষিণ কোরিয়ান ফার্মের কাছ থেকে একটি নিরাপত্তা প্রোগ্রামের জন্য একটি ইনস্টলেশন ফাইল হিসাবে নিজেকে ছদ্মবেশী করে। চুরিকারীর নাম হিসাবে, এটি এর মধ্যে এম্বেড করা 'D:/~/repo/golang/src/root.go/s/troll/agent' পথের উপর ভিত্তি করে।

তথ্য নিরাপত্তা বিশেষজ্ঞদের দ্বারা প্রদত্ত অন্তর্দৃষ্টি অনুসারে, ড্রপারটি ম্যালওয়্যারের সাথে একত্রে একটি বৈধ ইনস্টলার হিসাবে কাজ করে৷ ড্রপার এবং ম্যালওয়্যার উভয়ই একটি বৈধ D2Innovation Co., LTD শংসাপত্রের স্বাক্ষর বহন করে, যা কোম্পানির শংসাপত্রের সম্ভাব্য চুরির ইঙ্গিত দেয়।

ট্রল স্টিলারের একটি উল্লেখযোগ্য বৈশিষ্ট্য হ'ল আপোসকৃত সিস্টেমে GPKI ফোল্ডারটি চুরি করার ক্ষমতা, দেশের মধ্যে প্রশাসনিক এবং সরকারী সংস্থাগুলিতে পরিচালিত আক্রমণগুলিতে ম্যালওয়্যারটি নিযুক্ত হওয়ার সম্ভাবনার ইঙ্গিত দেয়।

কিমসিকি তাদের কৌশল বিকশিত করতে পারে এবং আর্সেনালকে হুমকি দেয়

GPKI ফোল্ডার চুরির সাথে জড়িত নথিভুক্ত কিমসুকি প্রচারাভিযানের অনুপস্থিতির আলোকে, অনুমান করা হচ্ছে যে পর্যবেক্ষণ করা নতুন আচরণ কৌশলে পরিবর্তন বা গ্রুপের সাথে ঘনিষ্ঠভাবে যুক্ত অন্য হুমকি অভিনেতার ক্রিয়াকলাপকে নির্দেশ করতে পারে, সম্ভাব্য সোর্স কোডে অ্যাক্সেসের অধিকারী। AppleSeed এবং AlphaSeed এর।

GoBear নামে একটি গো-ভিত্তিক ব্যাকডোরে হুমকি অভিনেতার সম্ভাব্য সম্পৃক্ততার দিকেও ইঙ্গিত রয়েছে। এই ব্যাকডোরটি D2Innovation Co., LTD-এর সাথে যুক্ত একটি বৈধ শংসাপত্রের সাথে স্বাক্ষরিত এবং একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে নির্দেশাবলী অনুসরণ করে৷

অধিকন্তু, GoBear এর কোডের মধ্যে ফাংশনের নামগুলি BetaSeed দ্বারা ব্যবহৃত কমান্ডের সাথে ওভারল্যাপ করে, একটি C++-ভিত্তিক ব্যাকডোর ম্যালওয়্যার যা Kimsuky গ্রুপ দ্বারা নিযুক্ত। উল্লেখযোগ্যভাবে, GoBear SOCKS5 প্রক্সি কার্যকারিতা প্রবর্তন করেছে, একটি বৈশিষ্ট্য যা পূর্বে কিমসুকি গ্রুপের সাথে যুক্ত ব্যাকডোর ম্যালওয়্যারে উপস্থিত ছিল না।