بدافزار دوریان
گروه تهدید کره شمالی Kimsuky اخیراً از بدافزار جدید مبتنی بر Golang به نام Durian در عملیات سایبری خاص که دو شرکت ارز دیجیتال کره جنوبی را هدف قرار داده است، استفاده کرده است. Durian یک بدافزار پیشرفته با قابلیتهای درپشتی گسترده است که به آن اجازه میدهد دستورات، دانلود فایلها و جمعآوری دادهها را از سیستمهای در معرض خطر اجرا کند.
فهرست مطالب
ناقل عفونت برای تحویل بدافزار دوریان
این حوادث در آگوست و نوامبر 2023 رخ داد و شامل بهره برداری از نرم افزار قانونی است که در انحصار کره جنوبی به عنوان یک روش عفونت است. روش خاص مورد استفاده برای بهره برداری از این نرم افزار هنوز به طور کامل توسط محققان کشف نشده است.
آنچه قابل درک است این است که این نرم افزار با سرور مهاجم ارتباط برقرار می کند، که سپس یک بار ناامن را برای شروع فرآیند عفونت بازیابی می کند. مرحله اولیه به عنوان یک نصب کننده برای بدافزارهای بیشتر عمل می کند و پایداری را در میزبان آسیب دیده ایجاد می کند. همچنین استقرار یک بدافزار لودر را تسهیل می کند که در نهایت باعث اجرای دوریان می شود.
بدافزار اضافی که توسط مهاجمان در کنار دوریان استفاده می شود
مهاجمان از Durian برای استقرار بدافزارهای اضافی، از جمله AppleSeed (در پشتی ترجیحی کیمسوکی)، یک ابزار پراکسی سفارشی به نام LazyLoad، همراه با ابزارهای قانونی مانند ngrok و Chrome Remote Desktop استفاده میکنند. هدف این بود که داده های ذخیره شده در مرورگر مانند کوکی ها و اعتبارنامه های ورود به سیستم را به سرقت ببرند.
نکته جالب در این حمله، استفاده از LazyLoad است که قبلاً با Andariel ، یک زیر گروه در گروه L azarus مرتبط بود. این نشان دهنده یک همکاری بالقوه یا همسویی تاکتیکی بین این بازیگران تهدید است.
کیمسوکی یک بازیکن اصلی در صحنه جرایم سایبری باقی می ماند
گروه کیمسوکی که حداقل از سال 2012 فعال است، با نامهای مستعار مختلفی از جمله APT43، Black Banshee، Emerald Sleet (Tallium سابق)، Springtail، TA427 و Velvet Chollima نیز شناخته میشود. اعتقاد بر این است که این مرکز تحت شصت و سومین مرکز تحقیقاتی، یک بخش از اداره کل شناسایی (RGB)، سازمان اطلاعات نظامی ارشد کره شمالی، فعالیت می کند.
بر اساس هشدار مشترک دفتر تحقیقات فدرال آمریکا (FBI) و آژانس امنیت ملی (NSA)، هدف اصلی کیمسوکی ارائه دادههای دزدیده شده و بینشهای ژئوپلیتیکی به رژیم کره شمالی است. آنها با به خطر انداختن تحلیلگران و کارشناسان سیاست به این مهم دست می یابند. مصالحههای موفق به بازیگران کیمسوکی اجازه میدهد تا ایمیلهای فیشینگ نیزهای قانعکنندهتر را برای هدف قرار دادن افراد با ارزش بالاتر ایجاد کنند.
Kimsuky همچنین با کمپینهایی مرتبط است که شامل یک تروجان دسترسی از راه دور مبتنی بر سی شارپ و جمعآوری اطلاعات معروف به TutorialRAT است. این بدافزار از Dropbox به عنوان یک پلتفرم برای راه اندازی حملات با هدف فرار از تشخیص تهدید استفاده می کند. این کمپین که یادآور کمپین تهدید BabyShark APT43 است، از تکنیک های رایج فیشینگ نیزه ای، از جمله استفاده از فایل های میانبر (LNK) استفاده می کند.