Durian ļaunprātīga programmatūra
Ziemeļkorejas draudu grupa Kimsuky nesen ir izmantojusi jaunu Golang balstītu ļaunprogrammatūru Durian īpašās kiberoperācijās, kas vērstas pret diviem Dienvidkorejas kriptovalūtas uzņēmumiem. Durian ir uzlabota ļaunprogrammatūra ar plašām aizmugures durvīm, kas ļauj tai izpildīt komandas, lejupielādēt failus un ievākt datus no apdraudētām sistēmām.
Satura rādītājs
Infekcijas vektors Durian ļaunprātīgas programmatūras piegādei
Incidenti notika 2023. gada augustā un novembrī, un tie bija saistīti ar likumīgas programmatūras izmantošanu, kas ir ekskluzīva Dienvidkorejas valodai kā infekcijas metode. Pētnieki vēl nav pilnībā atklājuši īpašo metodi, kas izmantota šīs programmatūras izmantošanai.
Ir saprotams, ka šī programmatūra izveido saziņu ar uzbrucēja serveri, kas pēc tam izgūst nedrošu slodzi, lai sāktu inficēšanās procesu. Sākotnējā stadija darbojas kā instalētājs turpmākai ļaunprātīgai programmatūrai un nodrošina noturību ietekmētajā resursdatorā. Tas arī atvieglo ielādētāja ļaunprātīgas programmatūras izvietošanu, kas galu galā izraisa Durian izpildi.
Papildu ļaunprātīga programmatūra, ko izmanto uzbrucēji kopā ar Durianu
Uzbrucēji izmanto Durian, lai izvietotu papildu ļaunprātīgu programmatūru, tostarp AppleSeed (Kimsuky vēlamā aizmugures durvis), pielāgotu starpniekservera rīku ar nosaukumu LazyLoad, kā arī likumīgus rīkus, piemēram, ngrok un Chrome Remote Desktop. Mērķis bija nozagt pārlūkprogrammā saglabātos datus, piemēram, sīkfailus un pieteikšanās akreditācijas datus.
Interesants punkts uzbrukumā ir LazyLoad izmantošana, kas iepriekš bija saistīta ar Andariel , apakšgrupu L azarus grupā . Tas liecina par iespējamu sadarbību vai taktisku saskaņošanu starp šiem apdraudējuma dalībniekiem.
Kimsuky joprojām ir galvenais spēlētājs kibernoziegumu vietā
Grupa Kimsuky, kas darbojas vismaz kopš 2012. gada, ir pazīstama arī ar dažādiem pseidonīmiem, tostarp APT43, Black Banshee, Emerald Sleet (agrāk Tallium), Springtail, TA427 un Velvet Chollima. Tiek uzskatīts, ka tas darbojas Ziemeļkorejas augstākās militārās izlūkošanas organizācijas Reconnaissance General Bureau (RGB) nodaļas 63. pētniecības centrā.
Saskaņā ar ASV Federālā izmeklēšanas biroja (FIB) un Nacionālās drošības aģentūras (NSA) kopīgo brīdinājumu Kimsukija galvenais mērķis ir sniegt Ziemeļkorejas režīmam nozagtus datus un ģeopolitiskos ieskatus. Viņi to panāk, kompromitējot politikas analītiķus un ekspertus. Veiksmīgi kompromisi ļauj Kimsuky aktieriem izstrādāt pārliecinošākus pikšķerēšanas e-pasta ziņojumus, lai mērķētu uz vērtīgākām personām.
Kimsuky ir bijis saistīts arī ar kampaņām, kas saistītas ar C# balstītu attālās piekļuves Trojas zirgu un informācijas savācēju, kas pazīstams kā TutorialRAT. Šī ļaunprogrammatūra izmanto Dropbox kā platformu uzbrukumu uzsākšanai, lai izvairītos no draudu noteikšanas. Šī kampaņa, kas atgādina APT43 BabyShark draudu kampaņu, izmanto izplatītas pikšķerēšanas metodes, tostarp īsceļu (LNK) failu izmantošanu.
