Troll Stealer
Nationalstatsskuespilleren Kimsuky, der er tilknyttet Nordkorea, menes at have implementeret en nyligt identificeret informationstjælende malware, Troll Stealer, bygget på Golang-programmeringssproget. Denne truende software er designet til at udtrække forskellige typer følsomme data, herunder SSH-legitimationsoplysninger, FileZilla-oplysninger, filer og mapper fra C-drevet, browserdata, systemdetaljer og skærmbilleder, blandt andet fra kompromitterede systemer.
Troll Stealers forbindelse til Kimsuky udledes af dens ligheder med velkendte malware-familier som AppleSeed og AlphaSeed, begge tidligere knyttet til den samme trusselsaktørgruppe.
Indholdsfortegnelse
Kimsuky er en aktiv APT-gruppe (Advanced Persistent Threat).
Kimsuky, alternativt identificeret som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidligere Thallium), Nickel Kimball og Velvet Chollima, er kendt for sin tilbøjelighed til at engagere sig i offensive cyberoperationer med det formål at stjæle følsomme og fortrolige oplysninger.
I november 2023 pressede det amerikanske finansministeriums Office of Foreign Assets Control (OFAC) på sanktioner mod disse trusselsaktører for deres rolle i at indsamle efterretninger for at fremme Nordkoreas strategiske mål.
Denne modstandsgruppe er også blevet sat i forbindelse med spear-phishing-angreb rettet mod sydkoreanske enheder, ved at bruge forskellige bagdøre, herunder AppleSeed og AlphaSeed.
Angrebsoperationen, der implementerer Troll Stealer Malware
En undersøgelse udført af cybersikkerhedsforskere har afsløret brugen af en dropper, der har til opgave at implementere den efterfølgende tyveretrussel. Dropperen forklæder sig som en installationsfil til et sikkerhedsprogram, der angiveligt kommer fra et sydkoreansk firma kendt som SGA Solutions. Hvad angår navnet på stjæleren, er det baseret på stien 'D:/~/repo/golang/src/root.go/s/troll/agent', der er indlejret i den.
Ifølge indsigten fra informationssikkerhedseksperter fungerer dropperen som en legitim installatør i forbindelse med malwaren. Både dropperen og malwaren bærer signaturen af et gyldigt D2Innovation Co., LTD-certifikat, hvilket indikerer et potentielt tyveri af virksomhedens certifikat.
Et bemærkelsesværdigt kendetegn ved Troll Stealer er dens evne til at stjæle GPKI-mappen på kompromitterede systemer, hvilket antyder sandsynligheden for, at malwaren er blevet brugt i angreb rettet mod administrative og offentlige organisationer i landet.
Kimsiky kan udvikle deres taktik og truer Arsenal
I lyset af fraværet af dokumenterede Kimsuky-kampagner, der involverer tyveri af GPKI-mapper, er der spekulationer om, at den observerede nye adfærd kan betyde et skift i taktik eller handlinger fra en anden trusselsaktør, der er tæt knyttet til gruppen, og som potentielt har adgang til kildekoden af AppleSeed og AlphaSeed.
Indikationer peger også mod den potentielle involvering af trusselsaktøren i en Go-baseret bagdør ved navn GoBear. Denne bagdør er signeret med et legitimt certifikat knyttet til D2Innovation Co., LTD og følger instruktioner fra en Command-and-Control-server (C2).
Ydermere overlapper funktionsnavnene i GoBears kode med kommandoer brugt af BetaSeed, en C++-baseret bagdør-malware ansat af Kimsuky-gruppen. Især introducerer GoBear SOCKS5 proxy-funktionalitet, en funktion, der ikke tidligere var til stede i bagdørs-malwaren forbundet med Kimsuky-gruppen.
