Troll Stealer

북한과 관련된 국가 행위자 Kimsuky는 Golang 프로그래밍 언어를 기반으로 구축된 새로 확인된 정보 탈취 악성 코드인 Troll Stealer를 배포한 것으로 추정됩니다. 이 위협적인 소프트웨어는 손상된 시스템에서 SSH 자격 증명, FileZilla 정보, C 드라이브의 파일 및 디렉터리, 브라우저 데이터, 시스템 세부 정보, 화면 캡처 등 다양한 유형의 민감한 데이터를 추출하도록 설계되었습니다.

Troll Stealer와 Kimsuky의 연관성은 이전에 동일한 위협 행위자 그룹에 연결되었던 AppleSeed 및 AlphaSeed와 같은 잘 알려진 악성 코드 계열과의 유사성에서 추론됩니다.

Kimsuky는 활동적인 APT(지능형 지속 위협) 그룹입니다.

APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet(이전 Thallium), Nickel Kimball, Velvet Chollima로도 알려진 Kimsuky는 민감한 기밀 정보를 훔칠 목적으로 공격적인 사이버 작전에 참여하는 성향으로 유명합니다.

2023년 11월, 미국 재무부 해외자산통제국(OFAC)은 북한의 전략적 목표를 달성하기 위해 정보를 수집하는 역할을 한 이들 위협 행위자들에 대해 제재를 가했습니다.

이 적대 그룹은 AppleSeed 및 AlphaSeed를 포함한 다양한 백도어를 활용하여 한국 기업을 대상으로 하는 스피어 피싱 공격에도 연결되었습니다.

트롤 스틸러 악성코드를 배포하는 공격 작전

사이버 보안 연구원들이 실시한 조사에서 후속 스틸러 위협을 배포하는 임무를 맡은 드로퍼의 활용이 밝혀졌습니다. 이 드로퍼는 SGA Solutions라고 알려진 한국 회사의 보안 프로그램 설치 파일로 위장합니다. 스틸러 이름은 해당 파일에 포함된 'D:/~/repo/golang/src/root.go/s/troll/agent' 경로를 기준으로 합니다.

정보 보안 전문가가 제공한 통찰력에 따르면 드로퍼는 악성 코드와 함께 합법적인 설치 프로그램으로 작동합니다. 드로퍼와 악성코드 모두 유효한 D2Innovation Co., LTD 인증서의 서명을 갖고 있어 회사 인증서의 도난 가능성이 있음을 나타냅니다.

Troll Stealer의 주목할만한 특징은 손상된 시스템에서 GPKI 폴더를 훔치는 기능으로, 해당 악성코드가 국가 내 행정 및 공공 기관을 대상으로 한 공격에 사용되었을 가능성을 암시합니다.

Kimsiky는 전술을 발전시키고 아스날을 위협할 수 있습니다.

GPKI 폴더 절도와 관련된 문서화된 Kimsuky 캠페인이 없다는 점을 고려할 때, 관찰된 새로운 행동은 전술의 변화 또는 그룹과 밀접하게 연관되어 잠재적으로 소스 코드에 대한 액세스 권한을 소유한 다른 위협 행위자의 행동을 의미할 수 있다는 추측이 있습니다. AppleSeed와 AlphaSeed의 조합입니다.

또한 GoBear라는 Go 기반 백도어에 위협 행위자가 개입할 가능성이 있다는 징후도 있습니다. 이 백도어는 D2Innovation Co., LTD에 연결된 합법적인 인증서로 서명되었으며 명령 및 제어(C2) 서버의 지침을 따릅니다.

게다가 GoBear 코드 내 함수 이름은 Kimsuky 그룹이 사용하는 C++ 기반 백도어 악성코드인 BetaSeed에서 사용하는 명령과 겹칩니다. 특히 GoBear는 Kimsuky 그룹과 관련된 백도어 악성코드에는 이전에는 없었던 기능인 SOCKS5 프록시 기능을 도입했습니다.