Programari maliciós Durian
El grup d'amenaces de Corea del Nord Kimsuky ha utilitzat recentment un nou programari maliciós basat en Golang anomenat Durian en operacions cibernètiques específiques dirigides a dues empreses de criptomoneda de Corea del Sud. Durian és un programari maliciós avançat amb àmplies capacitats de porta posterior, que li permet executar ordres, descarregar fitxers i recollir dades de sistemes compromesos.
Taula de continguts
Vector d'infecció per al lliurament del programari maliciós Durian
Els incidents van tenir lloc a l'agost i novembre del 2023 i van implicar l'explotació de programari legítim exclusiu de Corea del Sud com a mètode d'infecció. Els investigadors encara no han descobert completament el mètode específic utilitzat per explotar aquest programari.
El que s'entén és que aquest programari estableix la comunicació amb el servidor de l'atacant, que després recupera una càrrega útil no segura per iniciar el procés d'infecció. L'etapa inicial actua com a instal·lador per a més programari maliciós i estableix la persistència a l'amfitrió afectat. També facilita el desplegament d'un programari maliciós de càrrega que, finalment, desencadena l'execució de Durian.
Programari maliciós addicional utilitzat pels atacants juntament amb Durian
Els atacants utilitzen Durian per desplegar programari maliciós addicional, inclòs AppleSeed (la porta del darrere preferida de Kimsuky), una eina intermediaria personalitzada anomenada LazyLoad, juntament amb eines legítimes com ara ngrok i Chrome Remote Desktop. L'objectiu era robar dades emmagatzemades al navegador, com ara galetes i credencials d'inici de sessió.
Un punt interessant de l'atac és la utilització de LazyLoad, prèviament associat amb Andariel , un subgrup dins del Grup L azarus . Això suggereix una possible col·laboració o alineació tàctica entre aquests actors d'amenaça.
Kimsuky segueix sent un actor important en l'escena del cibercrim
El grup Kimsuky, actiu des d'almenys 2012, també és conegut per diversos àlies, com ara APT43, Black Banshee, Emerald Sleet (abans Thallium), Springtail, TA427 i Velvet Chollima. Es creu que opera sota el 63è Centre de Recerca, una divisió de l'Oficina General de Reconeixement (RGB), la màxima organització d'intel·ligència militar de Corea del Nord.
Segons una alerta conjunta de l'Oficina Federal d'Investigacions (FBI) dels EUA i l'Agència de Seguretat Nacional (NSA), l'objectiu principal de Kimsuky és proporcionar dades robades i coneixements geopolítics al règim de Corea del Nord. Ho aconsegueixen comprometent analistes i experts polítics. Els compromisos reeixits permeten als actors de Kimsuky desenvolupar correus electrònics de pesca de pesca més convincents per dirigir-se a persones de més valor.
Kimsuky també s'ha associat amb campanyes que impliquen un troià d'accés remot basat en C# i un recopilador d'informació conegut com TutorialRAT. Aquest programari maliciós utilitza Dropbox com a plataforma per llançar atacs, amb l'objectiu d'evadir la detecció d'amenaces. Aquesta campanya, que recorda la campanya d'amenaces BabyShark d'APT43, utilitza tècniques comunes de pesca de pesca, inclòs l'ús de fitxers de drecera (LNK).
