Troll Stealer
Manoma, kad nacionalinės valstybės veikėjas Kimsuky, siejamas su Šiaurės Korėja, įdiegė naujai identifikuotą informaciją vagiančią kenkėjišką programą „Troll Stealer“, sukurtą Golang programavimo kalba. Ši grėsminga programinė įranga skirta išgauti įvairių tipų neskelbtinus duomenis, įskaitant SSH kredencialus, „FileZilla“ informaciją, failus ir katalogus iš C disko, naršyklės duomenis, išsamią sistemos informaciją ir ekrano kopijas, be kita ko, iš pažeistų sistemų.
„Troll Stealer“ ryšys su „Kimsuky“ daromas iš jo panašumų į gerai žinomas kenkėjiškų programų šeimas, tokias kaip „AppleSeed“ ir „AlphaSeed“, kurios abi anksčiau buvo susijusios su ta pačia grėsmių veikėjų grupe.
Turinys
Kimsuky yra aktyvi APT (išplėstinė nuolatinė grėsmė) grupė
Kimsuky, kitaip vadinamas APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anksčiau Tallium), Nickel Kimball ir Velvet Chollima, yra žinomas dėl savo polinkio dalyvauti įžeidžiančiose kibernetinėse operacijose, kuriomis siekiama pagrobti jautrią ir konfidencialią informaciją.
2023 m. lapkritį JAV iždo departamento Užsienio turto kontrolės biuras (OFAC) paskelbė sankcijas šiems grėsmės veikėjams dėl jų vaidmens renkant žvalgybos informaciją siekiant Šiaurės Korėjos strateginių tikslų.
Ši priešininkų grupė taip pat buvo siejama su sukčiavimo išpuoliais, nukreiptais prieš Pietų Korėjos subjektus, naudojant įvairias užpakalines duris, įskaitant AppleSeed ir AlphaSeed.
Atakos operacija, naudojant „Troll Stealer“ kenkėjišką programą
Kibernetinio saugumo tyrinėtojų atliktas tyrimas atskleidė, kad naudojamas lašintuvas, kuriam pavesta išskleisti tolesnę vagystės grėsmę. Lašintuvas užmaskuojamas kaip saugumo programos, tariamai iš Pietų Korėjos įmonės, žinomos kaip SGA Solutions, diegimo failas. Kalbant apie vagies pavadinimą, jis pagrįstas jame įterptu keliu „D:/~/repo/golang/src/root.go/s/troll/agent“.
Remiantis informacijos saugos ekspertų įžvalgomis, lašintuvas veikia kaip teisėtas diegimo įrenginys kartu su kenkėjiška programa. Tiek lašintuvas, tiek kenkėjiška programa turi galiojančio D2Innovation Co., LTD sertifikato parašą, nurodantį galimą įmonės sertifikato vagystę.
Ypatinga „Troll Stealer“ savybė yra galimybė apiplėšti GPKI aplanką pažeistose sistemose, o tai rodo tikimybę, kad kenkėjiška programa buvo panaudota atakoms, nukreiptoms į šalies administracines ir viešąsias organizacijas.
Kimsiky gali tobulinti savo taktiką ir kelti grėsmę arsenalui
Atsižvelgiant į tai, kad nėra dokumentuotų Kimsuky kampanijų, susijusių su GPKI aplankų vagystėmis, spėjama, kad pastebėtas naujas elgesys gali reikšti taktikos pasikeitimą arba kito grėsmės veikėjo, glaudžiai susijusio su grupe, galinčio turėti prieigą prie šaltinio kodo, veiksmus. AppleSeed ir AlphaSeed.
Požymiai taip pat rodo galimą grėsmės veikėjo įsitraukimą į „Go“ pagrindu veikiančias užpakalines duris, pavadintas „GoBear“. Šios užpakalinės durys yra pasirašytos su teisėtu sertifikatu, susietu su D2Innovation Co., LTD, ir vadovaujasi komandų ir valdymo (C2) serverio instrukcijomis.
Be to, funkcijų pavadinimai GoBear kode sutampa su komandomis, naudojamomis BetaSeed, C++ pagrindu veikiančios užpakalinių durų kenkėjiškos programos, kurią naudoja Kimsuky grupė. Pažymėtina, kad „GoBear“ pristato SOCKS5 tarpinio serverio funkciją – funkciją, kurios anksčiau nebuvo su „Kimsuky“ grupe susietoje „backdoor“ kenkėjiškoje programoje.
