Durian kenkėjiška programa
Šiaurės Korėjos grėsmių grupė Kimsuky neseniai panaudojo naują Golango pagrindu sukurtą kenkėjišką programą, pavadintą Durian, vykdydama specifines kibernetines operacijas, nukreiptas prieš dvi Pietų Korėjos kriptovaliutų bendroves. Durian yra pažangi kenkėjiška programa, turinti plačias užpakalinių durų galimybes, leidžiančias vykdyti komandas, atsisiųsti failus ir rinkti duomenis iš pažeistų sistemų.
Turinys
Infekcijos vektorius, skirtas Durian kenkėjiškos programinės įrangos pristatymui
Incidentai įvyko 2023 m. rugpjūčio ir lapkričio mėn. ir buvo susiję su teisėtos programinės įrangos, kuri yra išskirtinė Pietų Korėjos, kaip užsikrėtimo būdas, išnaudojimas. Konkretus metodas, naudojamas šiai programinei įrangai išnaudoti, mokslininkų dar nėra visiškai atskleistas.
Suprantama, kad ši programinė įranga užmezga ryšį su užpuoliko serveriu, kuris tada nuskaito nesaugų naudingą apkrovą, kad inicijuotų užkrėtimo procesą. Pradinis etapas veikia kaip tolesnių kenkėjiškų programų diegimo programa ir užtikrina išlikimą paveiktame pagrindiniame kompiuteryje. Tai taip pat palengvina įkroviklio kenkėjiškos programos, kuri galiausiai suaktyvina Durian vykdymą, diegimą.
Papildoma kenkėjiška programa, kurią užpuolikai naudoja kartu su Durianu
Užpuolikai naudoja „Durian“, kad įdiegtų papildomas kenkėjiškas programas, įskaitant „AppleSeed“ („Kimsuky“ pageidaujamas užpakalinės durys), tinkintą tarpinio serverio įrankį, pavadintą „LazyLoad“, kartu su teisėtais įrankiais, tokiais kaip „ngrok“ ir „Chrome Remote Desktop“. Tikslas buvo pavogti naršyklėje saugomus duomenis, pvz., slapukus ir prisijungimo duomenis.
Įdomus atakos momentas yra LazyLoad, anksčiau sieto su Andariel , pogrupiu L azarus grupėje , panaudojimas. Tai rodo galimą šių grėsmės veikėjų bendradarbiavimą arba taktinį suderinimą.
Kimsuky išlieka pagrindiniu kibernetinių nusikaltimų scenos žaidėju
Kimsuky grupė, veikianti mažiausiai nuo 2012 m., taip pat žinoma įvairiais slapyvardžiais, įskaitant APT43, Black Banshee, Emerald Sleet (anksčiau Tallium), Springtail, TA427 ir Velvet Chollima. Manoma, kad jis veikia 63-iajame tyrimų centre – Generalinio žvalgybos biuro (RGB), aukščiausios Šiaurės Korėjos karinės žvalgybos organizacijos, padalinyje.
Remiantis bendru JAV Federalinio tyrimų biuro (FTB) ir Nacionalinio saugumo agentūros (NSA) perspėjimu, pagrindinis Kimsuky tikslas yra pateikti pavogtus duomenis ir geopolitines įžvalgas Šiaurės Korėjos režimui. Jie tai pasiekia kompromituodami politikos analitikus ir ekspertus. Sėkmingi kompromisai leidžia Kimsuky aktoriams sukurti įtikinamesnius sukčiavimo el. laiškus, skirtus didesnės vertės asmenims.
Kimsuky taip pat buvo siejamas su kampanijomis, kuriose dalyvauja C# pagrindu veikiantis nuotolinės prieigos Trojos arklys ir informacijos rinkėjas, žinomas kaip TutorialRAT. Ši kenkėjiška programa naudoja „Dropbox“ kaip platformą atakoms pradėti, kad būtų išvengta grėsmės aptikimo. Šioje kampanijoje, primenančioje APT43 „ BabyShark “ grėsmių kampaniją, naudojami įprasti sukčiavimo „spear-phishing“ metodai, įskaitant nuorodų (LNK) failų naudojimą.
