Durian Malware
Den nordkoreanske trusselgruppen Kimsuky har nylig brukt en ny Golang-basert skadevare kalt Durian i spesifikke cyberoperasjoner rettet mot to sørkoreanske kryptovalutaselskaper. Durian er en avansert skadelig programvare med omfattende bakdørsfunksjoner, som lar den utføre kommandoer, laste ned filer og høste data fra kompromitterte systemer.
Innholdsfortegnelse
Infeksjonsvektor for levering av Durian Malware
Hendelsene fant sted i august og november 2023 og involverte utnyttelse av legitim programvare som er eksklusiv for sørkoreansk som smittemetode. Den spesifikke metoden som brukes for å utnytte denne programvaren er ennå ikke fullt ut avdekket av forskere.
Det som forstås er at denne programvaren etablerer kommunikasjon med angriperens server, som deretter henter en usikker nyttelast for å starte infeksjonsprosessen. Den innledende fasen fungerer som et installasjonsprogram for ytterligere skadelig programvare og etablerer utholdenhet på den berørte verten. Det forenkler også distribusjonen av en loader malware som til slutt utløser Durians kjøring.
Ytterligere skadelig programvare brukt av angripere ved siden av Durian
Angriperne bruker Durian til å distribuere ytterligere skadelig programvare, inkludert AppleSeed (Kimsukys foretrukne bakdør), et tilpasset proxy-verktøy kalt LazyLoad, sammen med legitime verktøy som ngrok og Chrome Remote Desktop. Målet var å stjele nettleserlagrede data som informasjonskapsler og påloggingsinformasjon.
Et interessant punkt i angrepet er bruken av LazyLoad, tidligere assosiert med Andariel , en undergruppe i L azarus-gruppen . Dette antyder et potensielt samarbeid eller taktisk tilpasning mellom disse trusselaktørene.
Kimsuky forblir en storspiller på nettkriminalitetsscenen
Kimsuky-gruppen, aktiv siden minst 2012, er også kjent under forskjellige aliaser, inkludert APT43, Black Banshee, Emerald Sleet (tidligere Thallium), Springtail, TA427 og Velvet Chollima. Det antas å operere under 63rd Research Center, en avdeling av Reconnaissance General Bureau (RGB), Nord-Koreas øverste militære etterretningsorganisasjon.
I følge et felles varsel fra US Federal Bureau of Investigation (FBI) og National Security Agency (NSA), er Kimsukys primære mål å gi stjålne data og geopolitisk innsikt til det nordkoreanske regimet. De oppnår dette ved å kompromittere politiske analytikere og eksperter. Vellykkede kompromisser lar Kimsuky-skuespillere utvikle mer overbevisende spyd-phishing-e-poster for å målrette mot personer med høyere verdi.
Kimsuky har også blitt assosiert med kampanjer som involverer en C#-basert fjerntilgangstrojaner og informasjonsinnsamler kjent som TutorialRAT. Denne skadevaren bruker Dropbox som en plattform for å starte angrep, med sikte på å unngå trusseloppdagelse. Denne kampanjen, som minner om APT43s BabyShark- trusselkampanje, bruker vanlige spyd-phishing-teknikker, inkludert bruk av snarveisfiler (LNK).
