Durian Malware
קבוצת האיומים הצפון קוריאנית Kimsuky השתמשה לאחרונה בתוכנה זדונית חדשה מבוססת גולנג בשם Durian בפעולות סייבר ספציפיות המכוונות לשתי חברות קריפטוגרפיות דרום קוריאניות. Durian היא תוכנה זדונית מתקדמת עם יכולות נרחבות בדלת אחורית, המאפשרת לה לבצע פקודות, להוריד קבצים ולאסוף נתונים ממערכות שנפגעו.
תוכן העניינים
וקטור זיהום עבור אספקת תוכנת זדונית Durian
התקריות התרחשו באוגוסט ובנובמבר 2023 וכללו ניצול תוכנה לגיטימית שהיא בלעדית לדרום קוריאנית כשיטת הדבקה. השיטה הספציפית המשמשת לניצול תוכנה זו עדיין לא נחשפה במלואה על ידי החוקרים.
מה שמובן הוא שתוכנה זו יוצרת תקשורת עם השרת של התוקף, אשר לאחר מכן מאחזר מטען לא בטוח כדי להתחיל את תהליך ההדבקה. השלב הראשוני פועל כמתקין עבור תוכנות זדוניות נוספות ומבסס התמדה על המארח המושפע. זה גם מקל על הפריסה של תוכנת זדונית מטעין שבסופו של דבר מפעילה את הביצוע של Durian.
תוכנה זדונית נוספת בשימוש על ידי תוקפים לצד Durian
התוקפים משתמשים ב-Durian כדי לפרוס תוכנות זדוניות נוספות, כולל AppleSeed (הדלת האחורית המועדפת של Kimsuky), כלי פרוקסי מותאם אישית בשם LazyLoad, יחד עם כלים לגיטימיים כמו ngrok ו-Chrome Remote Desktop. המטרה הייתה לגנוב נתונים מאוחסנים בדפדפן כמו עוגיות ותעודות כניסה.
נקודה מעניינת בהתקפה היא השימוש ב-LazyLoad, שהיה קשור בעבר ל- Andriel , תת-קבוצה בתוך L azarus Group . זה מצביע על שיתוף פעולה פוטנציאלי או יישור טקטי בין גורמי האיום הללו.
קימסוקי נשאר שחקן מרכזי בזירת פשעי הסייבר
קבוצת Kimsuky, הפעילה לפחות מאז 2012, מוכרת גם בכינויים שונים, כולל APT43, Black Banshee, Emerald Sleet (לשעבר Thallium), Springtail, TA427 ו-Velvet Chollima. על פי ההערכות, הוא פועל תחת מרכז המחקר ה-63, חטיבה של הלשכה הכללית לסיירת (RGB), ארגון הביון הצבאי העליון של צפון קוריאה.
לפי התראה משותפת של הבולשת הפדרלית האמריקאית (FBI) והסוכנות לביטחון לאומי (NSA), המטרה העיקרית של קימסוקי היא לספק נתונים גנובים ותובנות גיאופוליטיות למשטר הצפון קוריאני. הם משיגים זאת על ידי התפשרות על מנתחי מדיניות ומומחים. פשרות מוצלחות מאפשרות לשחקני Kimsuky לפתח הודעות דוא"ל דיוג משכנעות יותר למיקוד לאנשים בעלי ערך גבוה יותר.
Kimsuky גם נקשרה למסעות פרסום הכוללים גישה מרחוק מבוססת C# טרויאני ואספן מידע הידוע בשם TutorialRAT. תוכנה זדונית זו משתמשת ב-Dropbox כפלטפורמה להפעלת התקפות, במטרה להתחמק מזיהוי איומים. מסע פרסום זה, המזכיר את מסע האיומים של BabyShark של APT43, משתמש בטכניקות דיוג נפוצות בחנית, כולל שימוש בקבצי קיצור (LNK).
