Troll Stealer
Pohjois-Koreaan liittyvän kansallisvaltion toimijan Kimsukyn uskotaan ottaneen käyttöön äskettäin tunnistetun tietoa varastavan haittaohjelman, Troll Stealer -ohjelman, joka on rakennettu Golang-ohjelmointikielelle. Tämä uhkaava ohjelmisto on suunniteltu poimimaan erityyppisiä arkaluonteisia tietoja, mukaan lukien SSH-tunnistetiedot, FileZilla-tiedot, tiedostot ja hakemistot C-asemalta, selaintiedot, järjestelmätiedot ja näyttökaappaukset muun muassa vaarantuneista järjestelmistä.
Troll Stealerin yhteys Kimsukyyn päätellään sen samankaltaisuuksista tunnettujen haittaohjelmaperheiden, kuten AppleSeed ja AlphaSeed, kanssa, jotka molemmat on aiemmin liitetty samaan uhkatoimijaryhmään.
Sisällysluettelo
Kimsuky on aktiivinen APT (Advanced Persistent Threat) -ryhmä
Kimsuky, joka tunnetaan vaihtoehtoisesti nimellä APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (entinen Thallium), Nickel Kimball ja Velvet Chollima, tunnetaan taipumuksestaan ryhtyä loukkaaviin kyberoperaatioihin, joiden tarkoituksena on ryöstää arkaluontoisia ja luottamuksellisia tietoja.
Marraskuussa 2023 Yhdysvaltain valtiovarainministeriön ulkomaan omaisuuden valvontavirasto (OFAC) asetti pakotteita näille uhkatoimijoille heidän roolistaan tiedustelutietojen keräämisessä Pohjois-Korean strategisten tavoitteiden edistämiseksi.
Tämä vihollinen ryhmä on myös yhdistetty eteläkorealaisia yksiköitä vastaan suunnattuihin keihäs-phishing-hyökkäuksiin, joissa on käytetty erilaisia takaovia, mukaan lukien AppleSeed ja AlphaSeed.
Hyökkäysoperaatio, joka ottaa käyttöön Troll Stealer -haittaohjelman
Kyberturvallisuustutkijoiden tekemä tutkimus on paljastanut seuraavan varastajan käyttöön ottavan dropperin käytön. Pisara naamioituu SGA Solutions -nimisen eteläkorealaisen yrityksen väitetysti valmistavan tietoturvaohjelman asennustiedostoksi. Mitä tulee varastajan nimeen, se perustuu siihen upotettuun polkuun 'D:/~/repo/golang/src/root.go/s/troll/agent'.
Tietoturva-asiantuntijoiden näkemysten mukaan dropper toimii laillisena asentajana haittaohjelman yhteydessä. Sekä tiputtajassa että haittaohjelmassa on voimassa olevan D2Innovation Co., LTD -sertifikaatin allekirjoitus, joka viittaa mahdolliseen yrityksen sertifikaatin varkauteen.
Troll Stealerin merkittävä ominaisuus on sen kyky varastaa GPKI-kansiota vaarantuneissa järjestelmissä, mikä viittaa todennäköisyyteen, että haittaohjelma on käytetty hyökkäyksissä, jotka on kohdistettu maan hallinnollisiin ja julkisiin organisaatioihin.
Kimsiky saattaa kehittää taktiikkaansa ja uhkaa arsenalia
Koska dokumentoituja Kimsuky-kampanjoita, jotka käsittäisivät GPKI-kansioiden varkauksia, ei ole, spekuloidaan, että havaittu uusi käyttäytyminen voisi merkitä taktiikkamuutosta tai toisen ryhmään läheisesti liittyvän uhkatoimijan toimintaa, jolla on mahdollisesti pääsy lähdekoodiin. AppleSeed ja AlphaSeed.
Viitteet viittaavat myös uhkatoimijan mahdolliseen osallistumiseen Go-pohjaiseen GoBear-nimiseen takaoveen. Tämä takaovi on allekirjoitettu laillisella sertifikaatilla, joka on linkitetty D2Innovation Co., LTD:hen, ja se noudattaa Command-and-Control (C2) -palvelimen ohjeita.
Lisäksi GoBearin koodin funktioiden nimet menevät päällekkäin BetaSeedin, Kimsuky-ryhmän käyttämän C++-pohjaisen takaoven haittaohjelman, käyttämien komentojen kanssa. Erityisesti GoBear esittelee SOCKS5-välityspalvelintoiminnon, ominaisuuden, jota ei aiemmin ollut Kimsuky-ryhmään liittyvissä takaoven haittaohjelmissa.
