بدافزار دوریان

گروه تهدید کره شمالی Kimsuky اخیراً از بدافزار جدید مبتنی بر Golang به نام Durian در عملیات سایبری خاص که دو شرکت ارز دیجیتال کره جنوبی را هدف قرار داده است، استفاده کرده است. Durian یک بدافزار پیشرفته با قابلیت‌های درپشتی گسترده است که به آن اجازه می‌دهد دستورات، دانلود فایل‌ها و جمع‌آوری داده‌ها را از سیستم‌های در معرض خطر اجرا کند.

ناقل عفونت برای تحویل بدافزار دوریان

این حوادث در آگوست و نوامبر 2023 رخ داد و شامل بهره برداری از نرم افزار قانونی است که در انحصار کره جنوبی به عنوان یک روش عفونت است. روش خاص مورد استفاده برای بهره برداری از این نرم افزار هنوز به طور کامل توسط محققان کشف نشده است.

آنچه قابل درک است این است که این نرم افزار با سرور مهاجم ارتباط برقرار می کند، که سپس یک بار ناامن را برای شروع فرآیند عفونت بازیابی می کند. مرحله اولیه به عنوان یک نصب کننده برای بدافزارهای بیشتر عمل می کند و پایداری را در میزبان آسیب دیده ایجاد می کند. همچنین استقرار یک بدافزار لودر را تسهیل می کند که در نهایت باعث اجرای دوریان می شود.

بدافزار اضافی که توسط مهاجمان در کنار دوریان استفاده می شود

مهاجمان از Durian برای استقرار بدافزارهای اضافی، از جمله AppleSeed (در پشتی ترجیحی کیمسوکی)، یک ابزار پراکسی سفارشی به نام LazyLoad، همراه با ابزارهای قانونی مانند ngrok و Chrome Remote Desktop استفاده می‌کنند. هدف این بود که داده های ذخیره شده در مرورگر مانند کوکی ها و اعتبارنامه های ورود به سیستم را به سرقت ببرند.

نکته جالب در این حمله، استفاده از LazyLoad است که قبلاً با Andariel ، یک زیر گروه در گروه L azarus مرتبط بود. این نشان دهنده یک همکاری بالقوه یا همسویی تاکتیکی بین این بازیگران تهدید است.

کیمسوکی یک بازیکن اصلی در صحنه جرایم سایبری باقی می ماند

گروه کیمسوکی که حداقل از سال 2012 فعال است، با نام‌های مستعار مختلفی از جمله APT43، Black Banshee، Emerald Sleet (Tallium سابق)، Springtail، TA427 و Velvet Chollima نیز شناخته می‌شود. اعتقاد بر این است که این مرکز تحت شصت و سومین مرکز تحقیقاتی، یک بخش از اداره کل شناسایی (RGB)، سازمان اطلاعات نظامی ارشد کره شمالی، فعالیت می کند.

بر اساس هشدار مشترک دفتر تحقیقات فدرال آمریکا (FBI) و آژانس امنیت ملی (NSA)، هدف اصلی کیمسوکی ارائه داده‌های دزدیده شده و بینش‌های ژئوپلیتیکی به رژیم کره شمالی است. آنها با به خطر انداختن تحلیلگران و کارشناسان سیاست به این مهم دست می یابند. مصالحه‌های موفق به بازیگران کیمسوکی اجازه می‌دهد تا ایمیل‌های فیشینگ نیزه‌ای قانع‌کننده‌تر را برای هدف قرار دادن افراد با ارزش بالاتر ایجاد کنند.

Kimsuky همچنین با کمپین‌هایی مرتبط است که شامل یک تروجان دسترسی از راه دور مبتنی بر سی شارپ و جمع‌آوری اطلاعات معروف به TutorialRAT است. این بدافزار از Dropbox به عنوان یک پلتفرم برای راه اندازی حملات با هدف فرار از تشخیص تهدید استفاده می کند. این کمپین که یادآور کمپین تهدید BabyShark APT43 است، از تکنیک های رایج فیشینگ نیزه ای، از جمله استفاده از فایل های میانبر (LNK) استفاده می کند.