Durian-haittaohjelma
Pohjoiskorealainen Kimsuky-uhkaryhmä on äskettäin käyttänyt uutta Golang-pohjaista Durian-nimistä haittaohjelmaa tietyissä kyberoperaatioissa, jotka kohdistuvat kahteen eteläkorealaiseen kryptovaluuttayhtiöön. Durian on edistynyt haittaohjelma, jolla on laajat takaoven ominaisuudet, joiden avulla se voi suorittaa komentoja, ladata tiedostoja ja kerätä tietoja vaarantuneista järjestelmistä.
Sisällysluettelo
Infektiovektori Durian-haittaohjelman toimittamiseen
Tapaukset tapahtuivat elo- ja marraskuussa 2023, ja niihin liittyi vain eteläkorealaisten laillisten ohjelmistojen hyväksikäyttö tartuntakeinona. Tutkijat eivät ole vielä täysin paljastaneet tämän ohjelmiston hyödyntämiseen käytettyä erityistä menetelmää.
Ymmärretään, että tämä ohjelmisto muodostaa yhteyden hyökkääjän palvelimeen, joka sitten hakee vaarallisen hyötykuorman tartuntaprosessin käynnistämiseksi. Alkuvaihe toimii asennusohjelmana lisähaittaohjelmille ja varmistaa pysyvyyden asianomaiselle isännälle. Se helpottaa myös lataushaittaohjelman käyttöönottoa, joka lopulta laukaisee Durianin suorittamisen.
Muita haittaohjelmia, joita hyökkääjät käyttävät Durianin rinnalla
Hyökkääjät käyttävät Duriania lisähaittaohjelmien käyttöön, mukaan lukien AppleSeed (Kimsukyn suosima takaovi), mukautettu LazyLoad-välityspalvelintyökalu, sekä lailliset työkalut, kuten ngrok ja Chrome Remote Desktop. Tavoitteena oli varastaa selaimeen tallennettuja tietoja, kuten evästeitä ja kirjautumistietoja.
Mielenkiintoinen kohta hyökkäyksessä on LazyLoadin käyttö, joka on aiemmin liitetty Andarieliin , L azarus Groupin alaryhmään. Tämä viittaa mahdolliseen yhteistyöhön tai taktiseen linjaukseen näiden uhkatoimijoiden välillä.
Kimsuky on edelleen merkittävä pelaaja tietoverkkorikospaikalla
Ainakin vuodesta 2012 lähtien toiminut Kimsuky-ryhmä tunnetaan myös useilla aliaksilla, kuten APT43, Black Banshee, Emerald Sleet (entinen Thallium), Springtail, TA427 ja Velvet Chollima. Sen uskotaan toimivan 63. tutkimuskeskuksen alaisuudessa, joka on Reconnaissance General Bureau (RGB) -osasto, Pohjois-Korean suurin sotilastiedusteluorganisaatio.
Yhdysvaltain liittovaltion tutkintaviraston (FBI) ja kansallisen turvallisuusviraston (NSA) yhteisen hälytyksen mukaan Kimsukyn ensisijainen tavoite on toimittaa varastettuja tietoja ja geopoliittisia näkemyksiä Pohjois-Korean hallitukselle. He saavuttavat tämän tekemällä kompromisseja politiikan analyytikot ja asiantuntijat. Onnistuneiden kompromissien ansiosta Kimsuky-näyttelijät voivat kehittää vakuuttavampia kalastelusähköposteja arvokkaiden henkilöiden kohdistamiseksi.
Kimsuky on myös liitetty kampanjoihin, joissa on mukana C#-pohjainen etäkäyttötroijalainen ja tiedonkerääjä, joka tunnetaan nimellä TutorialRAT. Tämä haittaohjelma käyttää Dropboxia alustana hyökkäyksille, joiden tarkoituksena on välttää uhkien havaitseminen. Tämä kampanja, joka muistuttaa APT43:n BabyShark- uhkakampanjaa, käyttää yleisiä keihäs-phishing-tekniikoita, mukaan lukien pikakuvakkeiden (LNK) käyttö.
