Duriani pahavara
Põhja-Korea ohurühm Kimsuky on hiljuti kasutanud uut Golangi-põhist pahavara nimega Durian konkreetsetes küberoperatsioonides, mis on suunatud kahele Lõuna-Korea krüptovaluutaettevõttele. Durian on täiustatud pahavara, millel on ulatuslikud tagaukse võimalused, mis võimaldab tal täita käske, alla laadida faile ja koguda andmeid ohustatud süsteemidest.
Sisukord
Nakkusvektor Duriani pahavara kohaletoimetamiseks
Juhtumid leidsid aset 2023. aasta augustis ja novembris ning nendes kasutati nakatumismeetodina seaduslikku tarkvara, mis on ainult Lõuna-Korea jaoks mõeldud. Teadlased ei ole veel täielikult avastanud selle tarkvara kasutamise spetsiifilist meetodit.
Arusaadav on see, et see tarkvara loob side ründaja serveriga, mis seejärel hangib nakatumisprotsessi algatamiseks ebaturvalise kasuliku koormuse. Algetapp toimib edasise pahavara installijana ja loob mõjutatud hostis püsivuse. See hõlbustab ka laaduri pahavara juurutamist, mis lõpuks käivitab Duriani täitmise.
Täiendav pahavara, mida ründajad kasutavad Durianiga
Ründajad kasutavad Duriani täiendava pahavara juurutamiseks, sealhulgas AppleSeed (Kimsuky eelistatud tagauks), kohandatud puhverserveri tööriist nimega LazyLoad, koos seaduslike tööriistadega, nagu ngrok ja Chrome Remote Desktop. Eesmärk oli varastada brauseris salvestatud andmeid, nagu küpsised ja sisselogimismandaadid.
Rünnaku huvitav punkt on LazyLoadi kasutamine, mis oli varem seotud Andarieliga , mis on L azarus Groupi alamrühm. See viitab potentsiaalsele koostööle või taktikalisele joondumisele nende ohustajate vahel.
Kimsuky on endiselt küberkuritegevuse stseeni peamine mängija
Vähemalt 2012. aastast tegutsenud Kimsuky grupp on tuntud ka erinevate varjunimede järgi, sealhulgas APT43, Black Banshee, Emerald Sleet (endine Tallium), Springtail, TA427 ja Velvet Chollima. Arvatakse, et see tegutseb Põhja-Korea kõrgeima sõjaväeluure organisatsiooni Reconnaissance General Bureau (RGB) 63. uurimiskeskuse all.
USA Föderaalse Juurdlusbüroo (FBI) ja Rahvusliku Julgeolekuagentuuri (NSA) ühishoiatuse kohaselt on Kimsuky esmane eesmärk anda Põhja-Korea režiimile varastatud andmeid ja geopoliitilisi teadmisi. Nad saavutavad selle, kompromiteerides poliitikaanalüütikuid ja eksperte. Edukad kompromissid võimaldavad Kimsuky näitlejatel töötada välja veenvamad andmepüügimeilid, mis on suunatud suurema väärtusega isikutele.
Kimsukyt on seostatud ka kampaaniatega, mis hõlmavad C#-põhist kaugjuurdepääsu troojalast ja teabekogujat, mida tuntakse kui TutorialRAT. See pahavara kasutab Dropboxi platvormina rünnakute käivitamiseks, eesmärgiga vältida ohtude tuvastamist. See kampaania, mis meenutab APT43 BabySharki ohukampaaniat, kasutab levinud andmepüügitehnikaid, sealhulgas otseteefailide (LNK) kasutamist.
