Troll Stealer
Tiek uzskatīts, ka ar Ziemeļkoreju saistītais nacionālās valsts aktieris Kimsukijs ir izvietojis tikko identificētu informācijas zagšanas ļaunprogrammatūru Troll Stealer, kas veidota uz Golang programmēšanas valodas. Šī draudīgā programmatūra ir izstrādāta, lai iegūtu dažāda veida sensitīvus datus, tostarp SSH akreditācijas datus, FileZilla informāciju, failus un direktorijus no C diska, pārlūkprogrammas datus, sistēmas informāciju un ekrānuzņēmumus, cita starpā no apdraudētām sistēmām.
Troll Stealer saistība ar Kimsuky tiek secināta no tā līdzībām ar labi zināmām ļaunprātīgas programmatūras ģimenēm, piemēram, AppleSeed un AlphaSeed, kuras abas iepriekš bija saistītas ar vienu un to pašu draudu dalībnieku grupu.
Satura rādītājs
Kimsuky ir aktīva APT (Advanced Persistent Threat) grupa
Kimsuky, alternatīvi identificēts kā APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (agrāk Tallium), Nickel Kimball un Velvet Chollima, ir slavens ar savu tieksmi iesaistīties aizskarošās kiberoperācijās, kuru mērķis ir zagt sensitīvu un konfidenciālu informāciju.
2023. gada novembrī ASV Finanšu ministrijas Ārvalstu aktīvu kontroles birojs (OFAC) uzspieda sankcijas pret šiem draudu dalībniekiem par viņu lomu izlūkdatu vākšanā, lai virzītu Ziemeļkorejas stratēģiskos mērķus.
Šī pretinieku grupa ir saistīta arī ar šķēpu pikšķerēšanas uzbrukumiem, kas vērsti pret Dienvidkorejas vienībām, izmantojot dažādas aizmugures durvis, tostarp AppleSeed un AlphaSeed.
Uzbrukuma operācija, izvietojot Troll Stealer ļaunprātīgu programmatūru
Kiberdrošības pētnieku veiktā pārbaude atklāja, ka tiek izmantots pilinātājs, kura uzdevums ir izvietot nākamo zagšanas draudu. Pilinātājs maskējas kā instalācijas fails drošības programmai, ko it kā ir no Dienvidkorejas firmas, kas pazīstama kā SGA Solutions. Kas attiecas uz zagļa nosaukumu, tas ir balstīts uz tajā iegulto ceļu “D:/~/repo/golang/src/root.go/s/troll/agent”.
Saskaņā ar informācijas drošības ekspertu sniegtajām atziņām pilinātājs darbojas kā likumīgs instalētājs kopā ar ļaunprātīgu programmatūru. Gan pilinātājam, gan ļaunprogrammatūrai ir derīga D2Innovation Co., LTD sertifikāta paraksts, kas norāda uz iespējamu uzņēmuma sertifikāta zādzību.
Ievērojama Troll Stealer īpašība ir tā spēja zagt GPKI mapi uzlauztām sistēmām, norādot uz iespējamību, ka ļaunprogrammatūra ir izmantota uzbrukumos, kas vērsti pret administratīvajām un sabiedriskajām organizācijām valstī.
Kimsiky var pilnveidot savu taktiku un apdraudēt arsenālu
Ņemot vērā to, ka nav dokumentētu Kimsuky kampaņu, kas saistītas ar GPKI mapju zādzībām, pastāv pieņēmumi, ka novērotā jaunā uzvedība varētu liecināt par taktikas maiņu vai cita ar grupu cieši saistīta apdraudējuma dalībnieka darbībām, kurām, iespējams, ir piekļuve avota kodam. AppleSeed un AlphaSeed.
Norādes arī norāda uz iespējamo apdraudējuma dalībnieka iesaistīšanos Go-balstītajās aizmugures durvīs ar nosaukumu GoBear. Šīs aizmugures durvis ir parakstītas ar likumīgu sertifikātu, kas saistīts ar D2Innovation Co., LTD, un izpilda norādījumus no Command-and-Control (C2) servera.
Turklāt funkciju nosaukumi GoBear kodā pārklājas ar komandām, ko izmanto BetaSeed — uz C++ balstīta aizmugures durvju ļaunprogrammatūra, ko izmanto Kimsuky grupa. Proti, GoBear ievieš SOCKS5 starpniekservera funkcionalitāti, kas iepriekš nebija pieejama ar Kimsuky grupu saistītajā aizmugures ļaunprātīgajā programmā.
