Hasad Durian
Kumpulan ancaman Kimsuky Korea Utara baru-baru ini telah menggunakan perisian hasad baharu berasaskan Golang bernama Durian dalam operasi siber khusus yang menyasarkan dua syarikat mata wang kripto Korea Selatan. Durian ialah perisian hasad lanjutan dengan keupayaan pintu belakang yang luas, membolehkannya melaksanakan arahan, memuat turun fail dan menuai data daripada sistem yang terjejas.
Isi kandungan
Vektor Jangkitan untuk Penghantaran Hasad Durian
Insiden itu berlaku pada Ogos dan November 2023 dan melibatkan eksploitasi perisian sah yang eksklusif untuk Korea Selatan sebagai kaedah jangkitan. Kaedah khusus yang digunakan untuk mengeksploitasi perisian ini masih belum ditemui sepenuhnya oleh penyelidik.
Apa yang difahami ialah perisian ini mewujudkan komunikasi dengan pelayan penyerang, yang kemudiannya mendapatkan semula muatan yang tidak selamat untuk memulakan proses jangkitan. Peringkat awal bertindak sebagai pemasang untuk perisian hasad selanjutnya dan mewujudkan kegigihan pada hos yang terjejas. Ia juga memudahkan penggunaan perisian hasad pemuat yang akhirnya mencetuskan pelaksanaan Durian.
Malware Tambahan Digunakan oleh Penyerang Bersama Durian
Penyerang menggunakan Durian untuk menggunakan perisian hasad tambahan, termasuk AppleSeed (pintu belakang pilihan Kimsuky), alat proksi tersuai bernama LazyLoad, bersama-sama dengan alat yang sah seperti ngrok dan Desktop Jauh Chrome. Objektifnya adalah untuk mencuri data yang disimpan pelayar seperti kuki dan kelayakan log masuk.
Satu perkara yang menarik dalam serangan itu ialah penggunaan LazyLoad, yang sebelum ini dikaitkan dengan Andariel , subkumpulan dalam Kumpulan L azarus . Ini menunjukkan potensi kerjasama atau penjajaran taktikal antara aktor ancaman ini.
Kimsuky Kekal sebagai Pemain Utama di Adegan Jenayah Siber
Kumpulan Kimsuky, aktif sejak sekurang-kurangnya 2012, juga dikenali dengan pelbagai alias, termasuk APT43, Black Banshee, Emerald Sleet (dahulunya Thallium), Springtail, TA427 dan Velvet Chollima. Ia dipercayai beroperasi di bawah Pusat Penyelidikan ke-63, sebuah bahagian Biro Am Peninjau (RGB), pertubuhan perisikan tentera tertinggi Korea Utara.
Menurut amaran bersama oleh Biro Penyiasatan Persekutuan (FBI) AS dan Agensi Keselamatan Negara (NSA), matlamat utama Kimsuky adalah untuk memberikan data curi dan pandangan geopolitik kepada rejim Korea Utara. Mereka mencapai ini dengan menjejaskan penganalisis dasar dan pakar. Kompromi yang berjaya membolehkan pelakon Kimsuky membangunkan e-mel pancingan lembing yang lebih meyakinkan untuk menyasarkan individu yang bernilai lebih tinggi.
Kimsuky juga telah dikaitkan dengan kempen yang melibatkan Trojan akses jauh berasaskan C# dan pengumpul maklumat yang dikenali sebagai TutorialRAT. Malware ini menggunakan Dropbox sebagai platform untuk melancarkan serangan, bertujuan untuk mengelak pengesanan ancaman. Kempen ini, mengingatkan kempen ancaman BabyShark APT43, menggunakan teknik pancingan lembing yang biasa, termasuk penggunaan fail pintasan (LNK).
