Troll Stealer
Den nasjonalstatlige skuespilleren Kimsuky, tilknyttet Nord-Korea, antas å ha distribuert en nylig identifisert informasjonsstjelende skadelig programvare, Troll Stealer, bygget på Golang-programmeringsspråket. Denne truende programvaren er utviklet for å trekke ut ulike typer sensitive data, inkludert SSH-legitimasjon, FileZilla-informasjon, filer og kataloger fra C-stasjonen, nettleserdata, systemdetaljer og skjermbilder, blant annet fra kompromitterte systemer.
Troll Stealers tilknytning til Kimsuky er utledet fra dens likheter med kjente skadevarefamilier som AppleSeed og AlphaSeed, begge tidligere knyttet til den samme trusselaktørgruppen.
Innholdsfortegnelse
Kimsuky er en aktiv APT-gruppe (Advanced Persistent Threat).
Kimsuky, alternativt identifisert som APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (tidligere Thallium), Nickel Kimball og Velvet Chollima, er kjent for sin tilbøyelighet til å engasjere seg i offensive cyberoperasjoner rettet mot å stjele sensitiv og konfidensiell informasjon.
I november 2023 presset det amerikanske finansdepartementets kontor for kontroll av utenlandske aktiva (OFAC) sanksjoner mot disse trusselaktørene for deres rolle i å samle etterretning for å fremme Nord-Koreas strategiske mål.
Denne motstandsgruppen har også blitt knyttet til spyd-phishing-angrep rettet mot sørkoreanske enheter, ved å bruke forskjellige bakdører, inkludert AppleSeed og AlphaSeed.
Angrepsoperasjonen som distribuerer Troll Stealer-malware
En undersøkelse utført av cybersikkerhetsforskere har avslørt bruken av en dropper som har i oppgave å distribuere den påfølgende tyveretrusselen. Dropperen forkledd seg som en installasjonsfil for et sikkerhetsprogram som angivelig kommer fra et sørkoreansk firma kjent som SGA Solutions. Når det gjelder navnet på stjeleren, er det basert på banen 'D:/~/repo/golang/src/root.go/s/troll/agent' innebygd i den.
I henhold til innsikten gitt av informasjonssikkerhetseksperter, fungerer dropperen som en legitim installatør i forbindelse med skadelig programvare. Både dropperen og skadelig programvare har signaturen til et gyldig D2Innovation Co., LTD-sertifikat, som indikerer et potensielt tyveri av selskapets sertifikat.
Et bemerkelsesverdig kjennetegn ved Troll Stealer er dens evne til å stjele GPKI-mappen på kompromitterte systemer, noe som antyder sannsynligheten for at skadevaren har blitt brukt i angrep rettet mot administrative og offentlige organisasjoner i landet.
Kimsiky kan utvikle taktikken sin og truer Arsenal
I lys av fraværet av dokumenterte Kimsuky-kampanjer som involverer tyveri av GPKI-mapper, er det spekulasjoner om at den observerte nye oppførselen kan bety et skifte i taktikk eller handlingene til en annen trusselaktør som er nært tilknyttet gruppen, som potensielt har tilgang til kildekoden av AppleSeed og AlphaSeed.
Indikasjoner peker også mot potensiell involvering av trusselaktøren i en Go-basert bakdør kalt GoBear. Denne bakdøren er signert med et legitimt sertifikat knyttet til D2Innovation Co., LTD og følger instruksjoner fra en Command-and-Control-server (C2).
Videre overlapper funksjonsnavnene i GoBears kode med kommandoer som brukes av BetaSeed, en C++-basert bakdør malware ansatt av Kimsuky-gruppen. Spesielt introduserer GoBear SOCKS5-proxy-funksjonalitet, en funksjon som ikke tidligere var til stede i bakdøren skadelig programvare knyttet til Kimsuky-gruppen.
