Durian Malware
Severokorejská hrozba Kimsuky nedávno využila nový malware založený na Golangu jménem Durian ve specifických kybernetických operacích zaměřených na dvě jihokorejské kryptoměnové společnosti. Durian je pokročilý malware s rozsáhlými funkcemi zadních vrátek, které mu umožňují spouštět příkazy, stahovat soubory a získávat data z napadených systémů.
Obsah
Infekční vektor pro doručení malwaru Durian
Incidenty se odehrály v srpnu a listopadu 2023 a zahrnovaly zneužívání legitimního softwaru, který je exkluzivní pro jihokorejský způsob infekce. Konkrétní metoda používaná k využívání tohoto softwaru není dosud zcela odhalena výzkumníky.
Rozumí se, že tento software naváže komunikaci se serverem útočníka, který pak načte nebezpečný náklad, aby zahájil proces infekce. Počáteční fáze funguje jako instalační program pro další malware a nastavuje perzistenci na postiženém hostiteli. Usnadňuje také nasazení malwaru zavaděče, který nakonec spustí Durianovo provedení.
Další malware využívaný útočníky vedle Durianu
Útočníci používají Durian k nasazení dalšího malwaru, včetně AppleSeed (Kimsukyho preferovaná zadní vrátka), vlastního proxy nástroje s názvem LazyLoad, spolu s legitimními nástroji, jako je ngrok a Chrome Remote Desktop. Cílem bylo ukrást data uložená v prohlížeči, jako jsou soubory cookie a přihlašovací údaje.
Zajímavým bodem v útoku je využití LazyLoad, dříve spojeného s Andariel , podskupinou v rámci L azarus Group . To naznačuje potenciální spolupráci nebo taktické sladění mezi těmito aktéry hrozeb.
Kimsuky zůstává hlavním hráčem na scéně počítačové kriminality
Skupina Kimsuky, aktivní minimálně od roku 2012, je také známá pod různými přezdívkami, včetně APT43, Black Banshee, Emerald Sleet (dříve Thallium), Springtail, TA427 a Velvet Chollima. Předpokládá se, že působí pod 63. výzkumným střediskem, divizí Reconnaissance General Bureau (RGB), nejvyšší severokorejské vojenské zpravodajské organizace.
Podle společného varování amerického Federálního úřadu pro vyšetřování (FBI) a Národní bezpečnostní agentury (NSA) je Kimsukyho primárním cílem poskytnout ukradená data a geopolitické poznatky severokorejskému režimu. Dosahují toho kompromitováním analytiků politik a odborníků. Úspěšné kompromisy umožňují hercům Kimsuky vyvinout přesvědčivější e-maily typu spear-phishing pro cílení na osoby s vyšší hodnotou.
Kimsuky byl také spojován s kampaněmi zahrnujícími trojský kůň pro vzdálený přístup založený na C# a sběrač informací známý jako TutorialRAT. Tento malware využívá Dropbox jako platformu pro spouštění útoků, jejichž cílem je vyhnout se detekci hrozeb. Tato kampaň, připomínající kampaň proti hrozbám BabyShark společnosti APT43, využívá běžné techniky spear-phishing, včetně použití souborů zkratek (LNK).
