Troll Stealer
តារាសម្ដែងជាតិ-រដ្ឋ Kimsuky ដែលមានទំនាក់ទំនងជាមួយកូរ៉េខាងជើង ត្រូវបានគេជឿថាបានដាក់ពង្រាយ Malware លួចព័ត៌មានដែលទើបនឹងកំណត់អត្តសញ្ញាណ Troll Stealer ដែលបង្កើតឡើងនៅលើភាសាកម្មវិធី Golang ។ កម្មវិធីគំរាមកំហែងនេះត្រូវបានរចនាឡើងដើម្បីទាញយកប្រភេទផ្សេងៗនៃទិន្នន័យរសើប រួមទាំងព័ត៌មានសម្ងាត់ SSH ព័ត៌មាន FileZilla ឯកសារ និងថតឯកសារពី C drive ទិន្នន័យកម្មវិធីរុករកតាមអ៊ីនធឺណិត ព័ត៌មានលម្អិតនៃប្រព័ន្ធ និងការចាប់យកអេក្រង់ ក្នុងចំណោមរបស់ផ្សេងទៀតពីប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។
ទំនាក់ទំនងរបស់ Troll Stealer ទៅនឹង Kimsuky ត្រូវបានសន្និដ្ឋានពីភាពស្រដៀងគ្នារបស់វាទៅនឹងគ្រួសារមេរោគល្បីដូចជា AppleSeed និង AlphaSeed ដែលទាំងពីរនេះធ្លាប់បានភ្ជាប់ទៅក្រុមអ្នកគំរាមកំហែងដូចគ្នា។
តារាងមាតិកា
Kimsuky គឺជាក្រុមសកម្ម APT (Advanced Persistent Threat) Group
Kimsuky ដែលត្រូវបានកំណត់ថាជា APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (អតីត Thallium), Nickel Kimball, និង Velvet Chollima មានភាពល្បីល្បាញដោយសារភាពរីកចម្រើនរបស់ខ្លួនក្នុងការចូលរួមក្នុងប្រតិបត្តិការអ៊ីនធឺណេតវាយលុកក្នុងគោលបំណងលួចលាក់ព័ត៌មានរសើប និងសម្ងាត់។
នៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2023 ការិយាល័យគ្រប់គ្រងទ្រព្យសម្បត្តិបរទេស (OFAC) នៃក្រសួងរតនាគារសហរដ្ឋអាមេរិកបានដាក់ទណ្ឌកម្មលើអ្នកគំរាមកំហែងទាំងនេះសម្រាប់តួនាទីរបស់ពួកគេក្នុងការប្រមូលព័ត៌មានសម្ងាត់ដើម្បីជំរុញគោលដៅយុទ្ធសាស្ត្ររបស់កូរ៉េខាងជើង។
ក្រុមសត្រូវនេះក៏ត្រូវបានផ្សារភ្ជាប់ទៅនឹងការវាយប្រហារដោយលំពែង-បន្លំ សំដៅទៅកាន់អង្គភាពកូរ៉េខាងត្បូង ដោយប្រើប្រាស់ backdoors ជាច្រើនរួមទាំង AppleSeed និង AlphaSeed ផងដែរ។
ប្រតិបត្តិការវាយប្រហារដាក់ពង្រាយ Troll Stealer Malware
ការពិនិត្យដែលធ្វើឡើងដោយក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត បានបង្ហាញឱ្យឃើញពីការប្រើប្រាស់ឧបករណ៍ទម្លាក់ ដែលបំពេញភារកិច្ចក្នុងការដាក់ពង្រាយការគំរាមកំហែងអ្នកលួចជាបន្តបន្ទាប់។ ដំណក់ទឹកក្លែងបន្លំខ្លួនជាឯកសារដំឡើងសម្រាប់កម្មវិធីសុវត្ថិភាពដែលរាយការណ៍ពីក្រុមហ៊ុនកូរ៉េខាងត្បូងដែលគេស្គាល់ថា SGA Solutions ។ ចំពោះឈ្មោះអ្នកលួច គឺផ្អែកលើផ្លូវ 'D:/~/repo/golang/src/root.go/s/troll/agent' ដែលបានបង្កប់នៅក្នុងវា។
យោងតាមការយល់ដឹងដែលផ្តល់ដោយអ្នកជំនាញផ្នែកសន្តិសុខព័ត៌មាន ដំណក់ទឹកដំណើរការជាកម្មវិធីដំឡើងស្របច្បាប់ដោយភ្ជាប់ជាមួយមេរោគ។ ទាំង dropper និង malware មានហត្ថលេខានៃវិញ្ញាបនបត្រ D2Innovation Co., LTD ដែលមានសុពលភាព ដែលបង្ហាញពីការលួចវិញ្ញាបនបត្ររបស់ក្រុមហ៊ុន។
លក្ខណៈគួរឱ្យកត់សម្គាល់នៃ Troll Stealer គឺសមត្ថភាពរបស់វាក្នុងការលួចថតឯកសារ GPKI នៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ដោយប្រាប់ពីលទ្ធភាពដែលមេរោគត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារដែលសំដៅទៅលើស្ថាប័នរដ្ឋបាល និងសាធារណៈនៅក្នុងប្រទេស។
Kimsiky អាចនឹងវិវឌ្ឍយុទ្ធសាស្ត្ររបស់ពួកគេ និងគំរាមកំហែង Arsenal
ដោយសារអវត្តមាននៃយុទ្ធនាការ Kimsuky ដែលបានចងក្រងជាឯកសារពាក់ព័ន្ធនឹងការលួចថតឯកសារ GPKI មានការរំពឹងទុកថាអាកប្បកិរិយាថ្មីដែលត្រូវបានសង្កេតឃើញអាចបង្ហាញពីការផ្លាស់ប្តូរយុទ្ធសាស្ត្រ ឬសកម្មភាពរបស់តួអង្គគំរាមកំហែងផ្សេងទៀតដែលមានទំនាក់ទំនងជិតស្និទ្ធជាមួយក្រុម ដែលអាចចូលប្រើកូដប្រភព។ នៃ AppleSeed និង AlphaSeed ។
ការចង្អុលបង្ហាញក៏ចង្អុលឆ្ពោះទៅរកការចូលរួមដ៏មានសក្តានុពលរបស់តួអង្គគម្រាមកំហែងនៅក្នុង Go-based backdoor ដែលមានឈ្មោះថា GoBear ។ backdoor នេះត្រូវបានចុះហត្ថលេខាជាមួយនឹងវិញ្ញាបនបត្រស្របច្បាប់ដែលភ្ជាប់ទៅនឹង D2Innovation Co., LTD និងធ្វើតាមការណែនាំពីម៉ាស៊ីនមេ Command-and-Control (C2) ។
លើសពីនេះ ឈ្មោះមុខងារនៅក្នុងកូដរបស់ GoBear ត្រួតលើគ្នាជាមួយនឹងពាក្យបញ្ជាដែលប្រើដោយ BetaSeed ដែលជាមេរោគ backdoor ដែលមានមូលដ្ឋានលើ C++ ដែលប្រើប្រាស់ដោយក្រុម Kimsuky ។ គួរកត់សម្គាល់ថា GoBear ណែនាំមុខងារប្រូកស៊ី SOCKS5 ដែលជាមុខងារដែលមិនមានវត្តមានពីមុននៅក្នុងមេរោគ backdoor ដែលទាក់ទងនឹងក្រុម Kimsuky ។
