Troll Stealer
Předpokládá se, že státní představitel Kimsuky, spojený se Severní Koreou, nasadil nově identifikovaný malware kradoucí informace, Troll Stealer, postavený na programovacím jazyce Golang. Tento ohrožující software je navržen tak, aby mimo jiné extrahoval různé typy citlivých dat, včetně přihlašovacích údajů SSH, informací FileZilla, souborů a adresářů z disku C, dat prohlížeče, systémových podrobností a snímků obrazovky, z kompromitovaných systémů.
Spojení Troll Stealer s Kimsuky je odvozeno z jeho podobností se známými rodinami malwaru, jako jsou AppleSeed a AlphaSeed, které byly dříve spojeny se stejnou skupinou aktérů hrozeb.
Obsah
Kimsuky je aktivní skupina APT (Advanced Persistent Threat).
Kimsuky, alternativně identifikovaný jako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dříve Thallium), Nickel Kimball a Velvet Chollima, je proslulý svou náchylností k zapojování se do útočných kybernetických operací zaměřených na krádež citlivých a důvěrných informací.
V listopadu 2023 Úřad pro kontrolu zahraničních aktiv (OFAC) ministerstva financí USA uvalil sankce na tyto aktéry hrozeb za jejich roli při shromažďování zpravodajských informací k prosazování strategických cílů Severní Koreje.
Tato nepřátelská skupina byla také spojována s útoky spear-phishing namířenými na jihokorejské entity, využívající různá zadní vrátka, včetně AppleSeed a AlphaSeed.
Útočná operace Nasazení malwaru Troll Stealer
Zkoumání provedené výzkumníky v oblasti kybernetické bezpečnosti odhalilo použití kapátka, které má za úkol rozmístit následnou hrozbu zlodějů. Kapátko se maskuje jako instalační soubor pro bezpečnostní program údajně od jihokorejské firmy známé jako SGA Solutions. Pokud jde o jméno zloděje, je založeno na cestě 'D:/~/repo/golang/src/root.go/s/troll/agent' v něm vložené.
Podle informací poskytnutých odborníky na informační bezpečnost funguje kapátko ve spojení s malwarem jako legitimní instalační program. Kapátko i malware nesou podpis platného certifikátu D2Innovation Co., LTD, který označuje potenciální krádež certifikátu společnosti.
Pozoruhodnou vlastností Troll Stealer je jeho schopnost ukrást složku GPKI na kompromitovaných systémech, což naznačuje pravděpodobnost, že malware byl použit při útocích namířených na administrativní a veřejné organizace v zemi.
Kimsiky mohou vyvíjet svou taktiku a ohrožovat arzenál
Vzhledem k absenci zdokumentovaných kampaní Kimsuky zahrnujících krádeže složek GPKI existují spekulace, že pozorované nové chování by mohlo znamenat posun v taktice nebo jednání jiného aktéra hrozby úzce spojeného se skupinou, který má potenciálně přístup ke zdrojovému kódu. AppleSeed a AlphaSeed.
Náznaky také poukazují na potenciální zapojení aktéra hrozby do zadních vrátek Go-based s názvem GoBear. Tato zadní vrátka jsou podepsána legitimním certifikátem spojeným s D2Innovation Co., LTD a řídí se pokyny ze serveru Command-and-Control (C2).
Kromě toho se názvy funkcí v kódu GoBear překrývají s příkazy používanými BetaSeed, malwarem backdoor založeným na C++, který používá skupina Kimsuky. GoBear zavádí funkci proxy SOCKS5, což je funkce, která se dříve nevyskytovala v backdoor malwaru spojeném se skupinou Kimsuky.
