Durian Malware
Sjevernokorejska skupina za prijetnje Kimsuky nedavno je upotrijebila novi malware temeljen na Golangu pod nazivom Durian u određenim cyber operacijama usmjerenim na dvije južnokorejske tvrtke za kriptovalute. Durian je napredni malware s opsežnim backdoor mogućnostima, koje mu omogućuju izvršavanje naredbi, preuzimanje datoteka i prikupljanje podataka iz ugroženih sustava.
Sadržaj
Vektor infekcije za isporuku zlonamjernog softvera Durian
Incidenti su se dogodili u kolovozu i studenom 2023. i uključivali su iskorištavanje legitimnog softvera koji je ekskluzivan za Južnokorejce kao metodu zaraze. Specifična metoda koja se koristi za iskorištavanje ovog softvera istraživači još nije u potpunosti otkrila.
Ono što se podrazumijeva je da ovaj softver uspostavlja komunikaciju s napadačevim poslužiteljem, koji zatim dohvaća nesigurni korisni teret kako bi pokrenuo proces infekcije. Početna faza djeluje kao instalacijski program za daljnji zlonamjerni softver i uspostavlja postojanost na pogođenom hostu. Također olakšava implementaciju zlonamjernog softvera za učitavanje koji u konačnici pokreće Durianovo izvršenje.
Dodatni zlonamjerni softver koji napadači koriste uz Durian
Napadači koriste Durian za implementaciju dodatnog zlonamjernog softvera, uključujući AppleSeed (Kimsukyjev omiljeni backdoor), prilagođeni proxy alat pod nazivom LazyLoad, zajedno s legitimnim alatima kao što su ngrok i Chrome Remote Desktop. Cilj je bio ukrasti podatke pohranjene u pregledniku poput kolačića i vjerodajnica za prijavu.
Zanimljiva točka u napadu je korištenje LazyLoada, prethodno povezanog s Andarielom , podgrupom unutar L azarus grupe . Ovo sugerira potencijalnu suradnju ili taktičko usklađivanje između ovih prijetnji.
Kimsuky ostaje glavni igrač na sceni kibernetičkog kriminala
Grupa Kimsuky, aktivna barem od 2012., također je poznata pod raznim aliasima, uključujući APT43, Black Banshee, Emerald Sleet (bivši Thallium), Springtail, TA427 i Velvet Chollima. Vjeruje se da djeluje pod 63. istraživačkim centrom, odjelom Glavnog ureda za izviđanje (RGB), vodeće vojne obavještajne organizacije Sjeverne Koreje.
Prema zajedničkom upozorenju američkog Federalnog istražnog ureda (FBI) i Agencije za nacionalnu sigurnost (NSA), Kimsukyjev primarni cilj je pružiti ukradene podatke i geopolitičke uvide sjevernokorejskom režimu. To postižu kompromitirajući političke analitičare i stručnjake. Uspješni kompromisi omogućuju akterima Kimsukyja da razviju uvjerljivije e-poruke za krađu identiteta za ciljanje pojedinaca veće vrijednosti.
Kimsuky je također povezan s kampanjama koje uključuju Trojanac za udaljeni pristup baziran na C#-u i sakupljač informacija poznat kao TutorialRAT. Ovaj malware koristi Dropbox kao platformu za pokretanje napada s ciljem izbjegavanja otkrivanja prijetnji. Ova kampanja, koja podsjeća na APT43-ovu kampanju prijetnji BabyShark , koristi uobičajene tehnike krađe identiteta, uključujući korištenje datoteka prečaca (LNK).
