Malware Durian
Il gruppo nordcoreano Kimsuky ha recentemente utilizzato un nuovo malware basato su Golang denominato Durian in specifiche operazioni informatiche rivolte a due società di criptovaluta sudcoreane. Durian è un malware avanzato con ampie funzionalità backdoor che gli consentono di eseguire comandi, scaricare file e raccogliere dati da sistemi compromessi.
Sommario
Vettore di infezione per la distribuzione del malware Durian
Gli incidenti hanno avuto luogo nell’agosto e nel novembre del 2023 e hanno coinvolto lo sfruttamento di software legittimo esclusivo della Corea del Sud come metodo di infezione. Il metodo specifico utilizzato per sfruttare questo software non è stato ancora completamente scoperto dai ricercatori.
Ciò che resta chiaro è che questo software stabilisce una comunicazione con il server dell'aggressore, che poi recupera un payload non sicuro per avviare il processo di infezione. La fase iniziale funge da programma di installazione di ulteriore malware e stabilisce la persistenza sull'host interessato. Facilita inoltre l'implementazione di un malware caricatore che alla fine attiva l'esecuzione di Durian.
Malware aggiuntivo utilizzato dagli aggressori insieme a Durian
Gli aggressori utilizzano Durian per distribuire ulteriore malware, tra cui AppleSeed (la backdoor preferita di Kimsuky), uno strumento proxy personalizzato denominato LazyLoad, insieme a strumenti legittimi come ngrok e Chrome Remote Desktop. L'obiettivo era rubare i dati memorizzati nel browser come cookie e credenziali di accesso.
Un punto interessante dell'attacco è l'utilizzo di LazyLoad, precedentemente associato ad Andariel , un sottogruppo del gruppo Lazarus . Ciò suggerisce una potenziale collaborazione o un allineamento tattico tra questi attori delle minacce.
Kimsuky rimane un attore importante sulla scena del crimine informatico
Il gruppo Kimsuky, attivo almeno dal 2012, è conosciuto anche con vari alias, tra cui APT43, Black Banshee, Emerald Sleet (ex Thallium), Springtail, TA427 e Velvet Chollima. Si ritiene che operi sotto il 63° Centro di ricerca, una divisione del Reconnaissance General Bureau (RGB), la principale organizzazione di intelligence militare della Corea del Nord.
Secondo un allarme congiunto del Federal Bureau of Investigation (FBI) e della National Security Agency (NSA) degli Stati Uniti, l’obiettivo principale di Kimsuky è fornire dati rubati e approfondimenti geopolitici al regime nordcoreano. Raggiungono questo obiettivo compromettendo gli analisti politici e gli esperti. Le compromissioni riuscite consentono agli autori di Kimsuky di sviluppare e-mail di spear-phishing più convincenti per prendere di mira individui di maggior valore.
Kimsuky è stato anche associato a campagne che coinvolgono un trojan di accesso remoto basato su C# e un raccoglitore di informazioni noto come TutorialRAT. Questo malware utilizza Dropbox come piattaforma per lanciare attacchi, con l'obiettivo di eludere il rilevamento delle minacce. Questa campagna, che ricorda la campagna di minaccia BabyShark di APT43, utilizza tecniche comuni di spear-phishing, compreso l'uso di file di collegamento (LNK).
