Durian Malware
Kimsukys nordkoreanske trusselgruppe har for nylig brugt en ny Golang-baseret malware ved navn Durian i specifikke cyberoperationer rettet mod to sydkoreanske kryptovalutavirksomheder. Durian er en avanceret malware med omfattende bagdørsfunktioner, der giver den mulighed for at udføre kommandoer, downloade filer og høste data fra kompromitterede systemer.
Indholdsfortegnelse
Infektionsvektor til levering af Durian Malware
Hændelserne fandt sted i august og november 2023 og involverede udnyttelse af legitim software, der er eksklusivt for sydkoreansk som infektionsmetode. Den specifikke metode, der bruges til at udnytte denne software, er endnu ikke fuldt ud afdækket af forskere.
Hvad der forstås er, at denne software etablerer kommunikation med angriberens server, som derefter henter en usikker nyttelast for at starte infektionsprocessen. Den indledende fase fungerer som et installationsprogram for yderligere malware og etablerer persistens på den berørte vært. Det letter også implementeringen af en loader-malware, der i sidste ende udløser Durians eksekvering.
Yderligere malware brugt af angribere sammen med Durian
Angriberne bruger Durian til at implementere yderligere malware, inklusive AppleSeed (Kimsukys foretrukne bagdør), et brugerdefineret proxyværktøj ved navn LazyLoad, sammen med legitime værktøjer såsom ngrok og Chrome Remote Desktop. Målet var at stjæle browser-lagrede data som cookies og login-oplysninger.
Et interessant punkt i angrebet er brugen af LazyLoad, tidligere forbundet med Andariel , en undergruppe inden for L azarus-gruppen . Dette antyder et potentielt samarbejde eller taktisk tilpasning mellem disse trusselsaktører.
Kimsuky forbliver en storspiller på cyberkriminalitetsscenen
Kimsuky-gruppen, der har været aktiv siden mindst 2012, er også kendt under forskellige aliaser, herunder APT43, Black Banshee, Emerald Sleet (tidligere Thallium), Springtail, TA427 og Velvet Chollima. Det menes at operere under 63rd Research Center, en afdeling af Reconnaissance General Bureau (RGB), Nordkoreas øverste militære efterretningsorganisation.
Ifølge en fælles alarm fra US Federal Bureau of Investigation (FBI) og National Security Agency (NSA) er Kimsukys primære mål at give stjålne data og geopolitisk indsigt til det nordkoreanske regime. De opnår dette ved at kompromittere politiske analytikere og eksperter. Succesfulde kompromiser giver Kimsuky-skuespillere mulighed for at udvikle mere overbevisende spear-phishing-e-mails til at målrette mod enkeltpersoner af højere værdi.
Kimsuky har også været forbundet med kampagner, der involverer en C#-baseret fjernadgang Trojan og informationsindsamler kendt som TutorialRAT. Denne malware bruger Dropbox som en platform til at starte angreb med det formål at undgå trusselsdetektion. Denne kampagne, der minder om APT43's BabyShark- trusselskampagne, anvender almindelige spear-phishing-teknikker, herunder brugen af genvejsfiler (LNK).
