Durian Malware
A Kimsuky észak-koreai fenyegetettségi csoport a közelmúltban egy új, Golang-alapú, Durian nevű rosszindulatú programot használt két dél-koreai kriptovaluta társaságot célzó konkrét kiberműveletekben. A Durian egy fejlett rosszindulatú program, amely kiterjedt hátsóajtó-képességekkel rendelkezik, lehetővé téve parancsok végrehajtását, fájlok letöltését és adatgyűjtést a feltört rendszerekről.
Tartalomjegyzék
Fertőzés vektor a Durian rosszindulatú program kézbesítéséhez
Az incidensek 2023 augusztusában és novemberében történtek, és olyan legitim szoftverek kiaknázásával jártak, amelyek kizárólag dél-koreaiak fertőzési módszerként. A szoftver kiaknázására használt konkrét módszert még nem tárták fel teljesen a kutatók.
Érthető, hogy ez a szoftver kommunikációt létesít a támadó szerverével, amely azután egy nem biztonságos rakományt kér le a fertőzési folyamat elindításához. A kezdeti szakasz a további rosszindulatú programok telepítőjeként működik, és állandóságot biztosít az érintett gazdagépen. Ezenkívül megkönnyíti a betöltő rosszindulatú program telepítését, amely végül kiváltja a Durian végrehajtását.
A Durian mellett támadók által használt további rosszindulatú programok
A támadók a Durian segítségével további rosszindulatú programokat telepítenek, köztük az AppleSeed-et (a Kimsuky által előnyben részesített hátsó ajtó), egy LazyLoad nevű egyéni proxyeszközt, valamint olyan legitim eszközöket, mint az ngrok és a Chrome Remote Desktop. A cél a böngészőben tárolt adatok, például a cookie-k és a bejelentkezési adatok ellopása volt.
A támadás érdekes pontja a LazyLoad használata, amely korábban az Andarielhez , a L azarus csoporton belüli alcsoporthoz kapcsolódott. Ez potenciális együttműködésre vagy taktikai összehangolásra utal e fenyegető szereplők között.
Kimsuky továbbra is a kiberbűnözés főszereplője
A legalább 2012 óta működő Kimsuky csoport különféle álnevekről is ismert, köztük APT43, Black Banshee, Emerald Sleet (korábban Thallium), Springtail, TA427 és Velvet Chollima. Feltételezések szerint a 63. Kutatóközpont, a Reconnaissance General Bureau (RGB), Észak-Korea legfőbb katonai hírszerző szervezetének egy részlege alatt működik.
Az amerikai Szövetségi Nyomozó Iroda (FBI) és a Nemzetbiztonsági Ügynökség (NSA) közös figyelmeztetése szerint Kimsuky elsődleges célja az, hogy ellopott adatokat és geopolitikai betekintést nyújtson az észak-koreai rezsim számára. Ezt politikai elemzők és szakértők kompromittálásával érik el. A sikeres kompromisszumok lehetővé teszik a Kimsuky színészei számára, hogy meggyőzőbb adathalász e-maileket dolgozzanak ki a nagyobb értékű személyek megcélzására.
Kimsukyt olyan kampányokkal is kapcsolatba hozták, amelyekben egy C#-alapú távoli hozzáférésű trójai program és a TutorialRAT néven ismert információgyűjtő vett részt. Ez a rosszindulatú program a Dropboxot használja platformként támadások indításához, és célja a fenyegetésészlelés elkerülése. Ez a kampány, amely az APT43 BabyShark fenyegetés elleni kampányára emlékeztet, általános adathalász technikákat alkalmaz, beleértve a parancsikon (LNK) fájlok használatát.
