Κακόβουλο λογισμικό Durian
Η βορειοκορεατική ομάδα απειλών Kimsuky χρησιμοποίησε πρόσφατα ένα νέο κακόβουλο λογισμικό με βάση το Golang που ονομάζεται Durian σε συγκεκριμένες επιχειρήσεις στον κυβερνοχώρο που στοχεύουν δύο εταιρείες κρυπτονομισμάτων της Νότιας Κορέας. Το Durian είναι ένα προηγμένο κακόβουλο λογισμικό με εκτεταμένες δυνατότητες backdoor, που του επιτρέπουν να εκτελεί εντολές, να κατεβάζει αρχεία και να συλλέγει δεδομένα από παραβιασμένα συστήματα.
Πίνακας περιεχομένων
Φορέας μόλυνσης για την παράδοση του κακόβουλου λογισμικού Durian
Τα περιστατικά έλαβαν χώρα τον Αύγουστο και τον Νοέμβριο του 2023 και αφορούσαν την εκμετάλλευση νόμιμου λογισμικού που είναι αποκλειστικά στη Νότια Κορέα ως μέθοδος μόλυνσης. Η συγκεκριμένη μέθοδος που χρησιμοποιείται για την εκμετάλλευση αυτού του λογισμικού δεν έχει ακόμη αποκαλυφθεί πλήρως από τους ερευνητές.
Αυτό που γίνεται κατανοητό είναι ότι αυτό το λογισμικό δημιουργεί επικοινωνία με τον διακομιστή του εισβολέα, ο οποίος στη συνέχεια ανακτά ένα μη ασφαλές ωφέλιμο φορτίο για να ξεκινήσει η διαδικασία μόλυνσης. Το αρχικό στάδιο λειτουργεί ως πρόγραμμα εγκατάστασης για περαιτέρω κακόβουλο λογισμικό και καθορίζει την επιμονή στον επηρεαζόμενο κεντρικό υπολογιστή. Διευκολύνει επίσης την ανάπτυξη ενός κακόβουλου λογισμικού φορτωτή που τελικά ενεργοποιεί την εκτέλεση του Durian.
Πρόσθετο κακόβουλο λογισμικό που χρησιμοποιείται από επιτιθέμενους παράλληλα με τον Durian
Οι εισβολείς χρησιμοποιούν το Durian για να αναπτύξουν επιπλέον κακόβουλο λογισμικό, συμπεριλαμβανομένου του AppleSeed (προτιμώμενη κερκόπορτα του Kimsuky), ενός προσαρμοσμένου εργαλείου διακομιστή μεσολάβησης που ονομάζεται LazyLoad, μαζί με νόμιμα εργαλεία όπως το ngrok και η απομακρυσμένη επιφάνεια εργασίας Chrome. Ο στόχος ήταν να κλέψουν δεδομένα αποθηκευμένα στο πρόγραμμα περιήγησης, όπως cookies και διαπιστευτήρια σύνδεσης.
Ένα ενδιαφέρον σημείο στην επίθεση είναι η χρήση του LazyLoad, που προηγουμένως σχετιζόταν με τον Andariel , μια υπο-ομάδα εντός της Ομάδας L azarus . Αυτό υποδηλώνει μια πιθανή συνεργασία ή τακτική ευθυγράμμιση μεταξύ αυτών των παραγόντων απειλής.
Ο Kimsuky παραμένει σημαντικός παίκτης στη σκηνή του εγκλήματος στον κυβερνοχώρο
Ο όμιλος Kimsuky, που δραστηριοποιείται τουλάχιστον από το 2012, είναι επίσης γνωστός με διάφορα ψευδώνυμα, συμπεριλαμβανομένων των APT43, Black Banshee, Emerald Sleet (πρώην Thallium), Springtail, TA427 και Velvet Chollima. Πιστεύεται ότι λειτουργεί υπό το 63ο Κέντρο Ερευνών, ένα τμήμα του Γενικού Γραφείου Αναγνώρισης (RGB), της κορυφαίας στρατιωτικής οργάνωσης πληροφοριών της Βόρειας Κορέας.
Σύμφωνα με κοινή προειδοποίηση του Ομοσπονδιακού Γραφείου Ερευνών των ΗΠΑ (FBI) και της Υπηρεσίας Εθνικής Ασφάλειας (NSA), ο πρωταρχικός στόχος του Kimsuky είναι να παρέχει κλεμμένα δεδομένα και γεωπολιτικές γνώσεις στο καθεστώς της Βόρειας Κορέας. Αυτό το πετυχαίνουν θέτοντας σε κίνδυνο τους αναλυτές πολιτικής και τους ειδικούς. Οι επιτυχημένοι συμβιβασμοί επιτρέπουν στους ηθοποιούς του Kimsuky να αναπτύξουν πιο πειστικά μηνύματα ηλεκτρονικού ψαρέματος (spear-phishing) για στόχευση ατόμων υψηλότερης αξίας.
Ο Kimsuky έχει επίσης συσχετιστεί με καμπάνιες που περιλαμβάνουν έναν Trojan απομακρυσμένης πρόσβασης που βασίζεται σε C# και συλλέκτη πληροφοριών γνωστό ως TutorialRAT. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί το Dropbox ως πλατφόρμα για την εκτόξευση επιθέσεων, με στόχο να αποφύγει τον εντοπισμό απειλών. Αυτή η καμπάνια, που θυμίζει την εκστρατεία απειλής BabyShark της APT43, χρησιμοποιεί κοινές τεχνικές spear-phishing, συμπεριλαμβανομένης της χρήσης αρχείων συντόμευσης (LNK).
