Troll Stealer

اعتقاد بر این است که کیمسوکی بازیگر دولت ملی، مرتبط با کره شمالی، یک بدافزار سرقت اطلاعات جدید شناسایی شده به نام Troll Stealer را که بر اساس زبان برنامه نویسی Golang ساخته شده است، مستقر کرده است. این نرم‌افزار تهدیدکننده برای استخراج انواع مختلف داده‌های حساس، از جمله اعتبارنامه SSH، اطلاعات FileZilla، فایل‌ها و دایرکتوری‌ها از درایو C، داده‌های مرورگر، جزئیات سیستم، و عکس‌های صفحه نمایش، از جمله موارد دیگر، از سیستم‌های در معرض خطر طراحی شده است.

ارتباط Troll Stealer با Kimsuky از شباهت‌های آن به خانواده‌های بدافزار معروفی مانند AppleSeed و AlphaSeed استنباط می‌شود که هر دو قبلاً به یک گروه عامل تهدید مرتبط بودند.

Kimsuky یک گروه فعال APT (تهدید پایدار پیشرفته) است

کیمسوکی با نام‌های دیگر APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet (Tallium سابق)، نیکل کیمبال، و Velvet Chollima شناخته می‌شود، به دلیل تمایل به مشارکت در عملیات سایبری تهاجمی با هدف سرقت اطلاعات حساس و محرمانه مشهور است.

در نوامبر 2023، دفتر کنترل دارایی های خارجی وزارت خزانه داری آمریکا (OFAC) تحریم هایی را علیه این بازیگران تهدید به دلیل نقش آنها در جمع آوری اطلاعات برای پیشبرد اهداف استراتژیک کره شمالی اعمال کرد.

این گروه متخاصم همچنین با حملات spear-phishing به نهادهای کره جنوبی، با استفاده از درهای پشتی مختلف، از جمله AppleSeed و AlphaSeed، مرتبط بوده است.

عملیات حمله استقرار بدافزار ترول دزد

بررسی انجام شده توسط محققان امنیت سایبری استفاده از یک قطره چکان را نشان می دهد که وظیفه دارد تهدید دزد بعدی را به کار گیرد. قطره چکان خود را به عنوان فایل نصبی برای یک برنامه امنیتی ظاهراً متعلق به یک شرکت کره جنوبی به نام SGA Solutions پنهان می کند. در مورد نام دزد، بر اساس مسیر 'D:/~/repo/golang/src/root.go/s/troll/agent' تعبیه شده در آن است.

طبق بینش ارائه شده توسط کارشناسان امنیت اطلاعات، dropper به عنوان یک نصب کننده قانونی در ارتباط با بدافزار عمل می کند. هم قطره چکان و هم بدافزار دارای امضای گواهی معتبر D2Innovation Co., LTD هستند که نشان دهنده سرقت احتمالی گواهی شرکت است.

یکی از ویژگی‌های قابل توجه Troll Stealer توانایی آن در سرقت پوشه GPKI در سیستم‌های در معرض خطر است، که به احتمال استفاده از بدافزار در حملاتی به سازمان‌های اداری و عمومی در داخل کشور اشاره می‌کند.

کیمسیکی ممکن است تاکتیک های خود را تغییر دهد و آرسنال را تهدید کند

با توجه به عدم وجود کمپین‌های مستند Kimsuky که شامل سرقت پوشه‌های GPKI باشد، این گمانه‌زنی وجود دارد که رفتار جدید مشاهده‌شده می‌تواند نشان‌دهنده تغییر تاکتیک‌ها یا اقدامات یک عامل تهدید دیگری باشد که نزدیک به گروه، به طور بالقوه به کد منبع دسترسی دارد. از AppleSeed و AlphaSeed.

نشانه‌ها همچنین به دخالت احتمالی عامل تهدید در یک درب پشتی مبتنی بر Go به نام GoBear اشاره می‌کنند. این درب پشتی با یک گواهی قانونی مرتبط با D2Innovation Co., LTD امضا شده است و از دستورالعمل های یک سرور Command-and-Control (C2) پیروی می کند.

علاوه بر این، نام توابع در کد GoBear با دستورات استفاده شده توسط BetaSeed، یک بدافزار پشتی مبتنی بر C++ که توسط گروه Kimsuky استفاده می‌شود، همپوشانی دارند. قابل ذکر است که GoBear عملکرد پراکسی SOCKS5 را معرفی می کند، ویژگی که قبلاً در بدافزار backdoor مرتبط با گروه Kimsuky وجود نداشت.