Troll Stealer
Az Észak-Koreához köthető nemzetállami szereplő, Kimsuky vélhetően egy újonnan azonosított információlopó kártevőt, a Golang programozási nyelvre épülő Troll Stealert telepített. Ez a fenyegető szoftver különféle típusú érzékeny adatok kinyerésére szolgál, beleértve az SSH-hitelesítő adatokat, a FileZilla-információkat, a C-meghajtóról származó fájlokat és könyvtárakat, a böngészőadatokat, a rendszer részleteit és a képernyőfelvételeket, többek között a feltört rendszerekről.
A Troll Stealer és a Kimsuky közötti kapcsolatra abból következtethetünk, hogy hasonlít a jól ismert rosszindulatú programcsaládokhoz, mint például az AppleSeed és az AlphaSeed, amelyek korábban ugyanahhoz a fenyegető cselekvőcsoporthoz kapcsolódtak.
Tartalomjegyzék
Kimsuky egy aktív APT (Advanced Persistent Threat) csoport
Kimsuky, más néven APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (korábban Tallium), Nickel Kimball és Velvet Chollima, híres arról, hogy hajlandó érzékeny és bizalmas információk eltulajdonítására irányuló támadó kiberműveletekre.
2023 novemberében az Egyesült Államok Pénzügyminisztériumának Külföldi Vagyonellenőrzési Hivatala (OFAC) szankciókat sújtott ezekkel a fenyegető szereplőkkel szemben, mivel szerepük van az Észak-Korea stratégiai céljainak előmozdítása érdekében folytatott információgyűjtésben.
Ezt az ellenséges csoportot a dél-koreai entitások ellen irányuló lándzsás adathalász támadásokkal is kapcsolatba hozták, különféle hátsó ajtókat használva, beleértve az AppleSeedet és az AlphaSeedet.
A támadási művelet a Troll-lopó rosszindulatú program telepítése
A kiberbiztonsági kutatók által végzett vizsgálat egy olyan dropper alkalmazását tárta fel, amelynek feladata a későbbi lopási fenyegetés bevetése. A cseppentő egy biztonsági program telepítőfájljaként álcázza magát, amely állítólag egy dél-koreai cégtől származik, az SGA Solutions néven. Ami a lopó nevét illeti, az a 'D:/~/repo/golang/src/root.go/s/troll/agent' útvonalon alapul, amely be van ágyazva.
Az információbiztonsági szakértők meglátásai szerint a dropper legitim telepítőként működik a rosszindulatú programokkal együtt. Mind a cseppentőn, mind a kártevőn egy érvényes D2Innovation Co., LTD tanúsítvány aláírása szerepel, ami a cég tanúsítványának esetleges ellopását jelzi.
A Troll Stealer figyelemre méltó jellemzője, hogy képes ellopni a GPKI mappát a feltört rendszereken, utalva annak valószínűségére, hogy a rosszindulatú programokat az ország közigazgatási és állami szervezetei ellen irányuló támadásokban alkalmazták.
Lehet, hogy Kimsiky fejleszti a taktikáját és fenyegeti az Arzenált
A GPKI-mappák ellopását magában foglaló Kimsuky-kampányok dokumentált hiánya miatt a feltételezések szerint a megfigyelt új viselkedés taktikaváltást vagy a csoporthoz szorosan kapcsolódó, a forráskódhoz potenciálisan hozzáféréssel rendelkező másik fenyegető szereplő tevékenységét jelezheti. az AppleSeed és az AlphaSeed.
A jelek arra is utalnak, hogy a fenyegető szereplő potenciálisan részt vehet a Go-alapú GoBear nevű háttérajtóban. Ezt a hátsó ajtót a D2Innovation Co., LTD-hez kapcsolódó legitim tanúsítvánnyal írták alá, és követi a Command-and-Control (C2) szerver utasításait.
Ezenkívül a GoBear kódjában található függvénynevek átfedésben vannak a BetaSeed, a Kimsuky csoport által használt C++-alapú hátsó ajtó rosszindulatú programja által használt parancsokkal. Nevezetesen, a GoBear bevezeti a SOCKS5 proxy funkciót, amely a Kimsuky csoporthoz kapcsolódó hátsó ajtó rosszindulatú szoftverében korábban nem volt jelen.
