ड्यूरियन मैलवेयर
किमसुकी उत्तर कोरियाई खतरा समूह ने हाल ही में दो दक्षिण कोरियाई क्रिप्टोकरेंसी कंपनियों को लक्षित करने वाले विशिष्ट साइबर ऑपरेशनों में ड्यूरियन नामक एक नए गोलांग-आधारित मैलवेयर का उपयोग किया है। ड्यूरियन एक उन्नत मैलवेयर है जिसमें व्यापक बैकडोर क्षमताएं हैं, जो इसे कमांड निष्पादित करने, फ़ाइलें डाउनलोड करने और समझौता किए गए सिस्टम से डेटा हार्वेस्ट करने की अनुमति देता है।
विषयसूची
ड्यूरियन मैलवेयर के वितरण के लिए संक्रमण वेक्टर
ये घटनाएँ अगस्त और नवंबर 2023 में हुईं और इनमें संक्रमण के तरीके के रूप में वैध सॉफ़्टवेयर का शोषण शामिल था जो दक्षिण कोरिया के लिए विशिष्ट है। इस सॉफ़्टवेयर का शोषण करने के लिए इस्तेमाल की जाने वाली विशिष्ट विधि अभी तक शोधकर्ताओं द्वारा पूरी तरह से उजागर नहीं की गई है।
समझा जाता है कि यह सॉफ़्टवेयर हमलावर के सर्वर के साथ संचार स्थापित करता है, जो फिर संक्रमण प्रक्रिया शुरू करने के लिए एक असुरक्षित पेलोड को पुनः प्राप्त करता है। प्रारंभिक चरण आगे के मैलवेयर के लिए इंस्टॉलर के रूप में कार्य करता है और प्रभावित होस्ट पर दृढ़ता स्थापित करता है। यह एक लोडर मैलवेयर की तैनाती की सुविधा भी देता है जो अंततः ड्यूरियन के निष्पादन को ट्रिगर करता है।
ड्यूरियन के साथ हमलावरों द्वारा उपयोग किए जाने वाले अतिरिक्त मैलवेयर
हमलावर ड्यूरियन का उपयोग अतिरिक्त मैलवेयर तैनात करने के लिए करते हैं, जिसमें AppleSeed (किमसुकी का पसंदीदा बैकडोर), LazyLoad नामक एक कस्टम प्रॉक्सी टूल, साथ ही ngrok और Chrome Remote Desktop जैसे वैध टूल शामिल हैं। इसका उद्देश्य ब्राउज़र में संग्रहीत कुकीज़ और लॉगिन क्रेडेंशियल जैसे डेटा को चुराना था।
हमले में एक दिलचस्प बात यह है कि लेज़ी लोड का उपयोग किया गया है, जो पहले एंडारियल से जुड़ा था, जो एल अज़ारस समूह के भीतर एक उप-समूह है। यह इन ख़तरनाक अभिनेताओं के बीच संभावित सहयोग या सामरिक संरेखण का सुझाव देता है।
किमसुकी साइबर अपराध के क्षेत्र में एक प्रमुख खिलाड़ी बना हुआ है
किमसुकी समूह, जो कम से कम 2012 से सक्रिय है, को विभिन्न उपनामों से भी जाना जाता है, जिसमें APT43, ब्लैक बंशी, एमराल्ड स्लीट (पूर्व में थैलियम), स्प्रिंगटेल, TA427 और वेलवेट चोलिमा शामिल हैं। ऐसा माना जाता है कि यह समूह 63वें रिसर्च सेंटर के तहत काम करता है, जो उत्तर कोरिया के शीर्ष सैन्य खुफिया संगठन, टोही जनरल ब्यूरो (RGB) का एक प्रभाग है।
अमेरिकी संघीय जांच ब्यूरो (एफबीआई) और राष्ट्रीय सुरक्षा एजेंसी (एनएसए) की संयुक्त चेतावनी के अनुसार, किमसुकी का प्राथमिक लक्ष्य उत्तर कोरियाई शासन को चुराए गए डेटा और भू-राजनीतिक जानकारी प्रदान करना है। वे नीति विश्लेषकों और विशेषज्ञों से समझौता करके ऐसा करते हैं। सफल समझौता किमसुकी अभिनेताओं को उच्च-मूल्य वाले व्यक्तियों को लक्षित करने के लिए अधिक विश्वसनीय स्पीयर-फ़िशिंग ईमेल विकसित करने की अनुमति देता है।
किमसुकी को ट्यूटोरियलआरएटी नामक सी#-आधारित रिमोट एक्सेस ट्रोजन और सूचना संग्रहकर्ता से जुड़े अभियानों से भी जोड़ा गया है। यह मैलवेयर ड्रॉपबॉक्स को हमले शुरू करने के लिए एक मंच के रूप में उपयोग करता है, जिसका उद्देश्य खतरे का पता लगाने से बचना है। यह अभियान, APT43 के बेबीशार्क खतरे अभियान की याद दिलाता है, जिसमें शॉर्टकट (LNK) फ़ाइलों के उपयोग सहित सामान्य स्पीयर-फ़िशिंग तकनीकों का उपयोग किया जाता है।
