Troll Stealer
Glumac nacionalne države Kimsuky, povezan sa Sjevernom Korejom, vjeruje se da je postavio novootkriveni malware za krađu informacija, Troll Stealer, izgrađen na programskom jeziku Golang. Ovaj prijeteći softver dizajniran je za izdvajanje različitih vrsta osjetljivih podataka, uključujući SSH vjerodajnice, informacije o FileZilla, datoteke i direktorije s pogona C, podatke preglednika, detalje sustava i snimke zaslona, između ostalog, iz kompromitiranih sustava.
Povezanost Troll Stealera s Kimsukyjem izvedena je iz njegove sličnosti s dobro poznatim obiteljima zlonamjernog softvera kao što su AppleSeed i AlphaSeed, obje prethodno povezane s istom grupom aktera prijetnje.
Sadržaj
Kimsuky je aktivna APT (Advanced Persistent Threat) grupa
Kimsuky, alternativno identificiran kao APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (bivši Thallium), Nickel Kimball i Velvet Chollima, poznat je po svojoj sklonosti uključivanju u ofenzivne kibernetičke operacije s ciljem krađe osjetljivih i povjerljivih informacija.
U studenom 2023., Ured za kontrolu inozemne imovine (OFAC) Ministarstva financija SAD-a pokrenuo je sankcije protiv ovih aktera prijetnji zbog njihove uloge u prikupljanju obavještajnih podataka za promicanje strateških ciljeva Sjeverne Koreje.
Ova protivnička skupina također je povezana s napadima spear-phishing usmjerenim na južnokorejske entitete, koristeći različita stražnja vrata, uključujući AppleSeed i AlphaSeed.
Operacija napada uvođenje zlonamjernog softvera Troll Stealer
Ispitivanje koje su proveli istraživači kibernetičke sigurnosti otkrilo je korištenje kapaljke čiji je zadatak implementirati kasniju prijetnju kradljivca. Kapaljka se prerušava kao instalacijska datoteka za sigurnosni program navodno južnokorejske tvrtke poznate kao SGA Solutions. Što se tiče imena kradljivca, ono se temelji na putanji 'D:/~/repo/golang/src/root.go/s/troll/agent' koja je ugrađena u njega.
Prema uvidima stručnjaka za informacijsku sigurnost, dropper radi kao legitimni instalacijski program u kombinaciji sa zlonamjernim softverom. I kapaljka i zlonamjerni softver imaju potpis važećeg certifikata D2Innovation Co., LTD, što ukazuje na potencijalnu krađu certifikata tvrtke.
Značajna karakteristika Troll Stealera je njegova sposobnost krađe GPKI mape na kompromitiranim sustavima, nagovještavajući vjerojatnost da je malware korišten u napadima usmjerenim na administrativne i javne organizacije unutar zemlje.
Kimsiky možda razvija svoju taktiku i prijeti Arsenalu
U svjetlu nepostojanja dokumentiranih Kimsuky kampanja koje uključuju krađu GPKI mapa, postoje spekulacije da bi primijećeno novo ponašanje moglo značiti promjenu taktike ili akcije drugog aktera prijetnje blisko povezanog sa skupinom, koji potencijalno posjeduje pristup izvornom kodu AppleSeed i AlphaSeed.
Indikacije također upućuju na potencijalnu upletenost aktera prijetnje u backdoor temeljen na Go-u pod nazivom GoBear. Ovaj backdoor je potpisan legitimnim certifikatom povezanim s D2Innovation Co., LTD i slijedi upute Command-and-Control (C2) poslužitelja.
Nadalje, nazivi funkcija unutar koda GoBeara preklapaju se s naredbama koje koristi BetaSeed, backdoor malware temeljen na C++-u koji koristi grupa Kimsuky. Naime, GoBear predstavlja SOCKS5 proxy funkcionalnost, značajku koja prethodno nije bila prisutna u backdoor zlonamjernom softveru povezanom s grupom Kimsuky.
