Troll Stealer
उत्तर कोरियासँग सम्बन्धित राष्ट्र-राज्य अभिनेता किमसुकीले गोलांग प्रोग्रामिङ भाषामा निर्मित नयाँ पहिचान गरिएको जानकारी-चोरी मालवेयर, ट्रोल स्टिलर, तैनात गरेको विश्वास गरिन्छ। यो धम्की दिने सफ्टवेयर विभिन्न प्रकारका संवेदनशील डाटा निकाल्न डिजाइन गरिएको हो, जसमा SSH प्रमाणहरू, FileZilla जानकारी, C ड्राइभबाट फाइलहरू र डाइरेक्टरीहरू, ब्राउजर डाटा, प्रणाली विवरणहरू, र स्क्रिन क्याप्चरहरू, अन्य चीजहरू बीच, सम्झौता प्रणालीहरूबाट।
किमसुकीसँग ट्रोल स्टिलरको जडान AppleSeed र AlphaSeed जस्ता प्रख्यात मालवेयर परिवारहरूसँग यसको समानताबाट अनुमान गरिएको छ, दुबै पहिले नै एउटै खतरा अभिनेता समूहसँग जोडिएका थिए।
सामग्रीको तालिका
किमसुकी एक सक्रिय एपीटी (उन्नत निरन्तर खतरा) समूह हो
किमसुकी, वैकल्पिक रूपमा APT43, ArchipelaGO, Black Banshee, Emerald Sleet (पहिले थालियम), निकेल किम्बल र Velvet Chollima को रूपमा चिनिन्छ, संवेदनशील र गोप्य जानकारी लुट्ने उद्देश्यले आपत्तिजनक साइबर अपरेशनहरूमा संलग्न हुनको लागि प्रख्यात छ।
नोभेम्बर 2023 मा, अमेरिकी ट्रेजरी विभागको विदेशी सम्पत्ति नियन्त्रण कार्यालय (OFAC) ले उत्तर कोरियाको रणनीतिक लक्ष्यहरू अगाडि बढाउन खुफिया जानकारी सङ्कलन गर्ने भूमिकाका लागि यी धम्की दिने व्यक्तिहरूलाई प्रतिबन्ध लगाएको थियो।
यो विरोधी समूह AppleSeed र AlphaSeed सहित विभिन्न ब्याकडोरहरू प्रयोग गरी दक्षिण कोरियाली संस्थाहरूमा निर्देशित भाला-फिशिङ आक्रमणहरूसँग पनि जोडिएको छ।
ट्रोल स्टिलर मालवेयर डिप्लोइ गर्ने आक्रमण अपरेशन
साइबरसेक्युरिटी अनुसन्धानकर्ताहरूद्वारा गरिएको एक परीक्षणले पछिको चोरीको खतरालाई तैनात गर्नका लागि ड्रपरको प्रयोगको खुलासा गरेको छ। ड्रपरले आफूलाई SGA समाधान भनिने दक्षिण कोरियाली फर्मबाट कथित रूपमा सुरक्षा कार्यक्रमको लागि स्थापना फाइलको रूपमा भेषमा राख्छ। चोरको नामको लागि, यो भित्र सम्मिलित 'D:/~/repo/golang/src/root.go/s/troll/agent' मार्गमा आधारित छ।
सूचना सुरक्षा विशेषज्ञहरु द्वारा प्रदान गरिएको अन्तरदृष्टि अनुसार, ड्रपर मालवेयर संग संयोजन मा एक वैध स्थापनाकर्ता को रूप मा काम गर्दछ। ड्रपर र मालवेयर दुबैले मान्य D2Innovation Co., LTD प्रमाणपत्रको हस्ताक्षर बोक्दछ, जसले कम्पनीको प्रमाणपत्रको सम्भावित चोरीको संकेत गर्दछ।
Troll Stealer को एक उल्लेखनीय विशेषता भनेको सम्झौता प्रणालीहरूमा GPKI फोल्डर पिल्फर गर्ने क्षमता हो, जसले मालवेयर देश भित्र प्रशासनिक र सार्वजनिक संगठनहरूमा निर्देशित आक्रमणहरूमा नियोजित भएको सम्भावनालाई संकेत गर्दछ।
किम्सिकीले आफ्नो रणनीति र आर्सेनललाई धम्की दिइरहेको हुन सक्छ
GPKI फोल्डरहरूको चोरी समावेश दस्तावेजित किमसुकी अभियानहरूको अनुपस्थितिमा, त्यहाँ अनुमान गरिएको छ कि अवलोकन गरिएको नयाँ व्यवहारले रणनीतिमा परिवर्तन वा समूहसँग नजिकबाट सम्बद्ध अर्को खतरा अभिनेताको कार्यलाई संकेत गर्न सक्छ, सम्भावित रूपमा स्रोत कोडमा पहुँच भएको। AppleSeed र AlphaSeed को।
संकेतहरूले GoBear नामको गो-आधारित ब्याकडोरमा खतरा अभिनेताको सम्भावित संलग्नतालाई पनि औंल्याउँछ। यो ब्याकडोर D2Innovation Co., LTD सँग लिङ्क गरिएको वैध प्रमाणपत्रको साथ हस्ताक्षर गरिएको छ र कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरबाट निर्देशनहरू पालना गर्दछ।
यसबाहेक, GoBear को कोड भित्र प्रकार्य नामहरू BetaSeed द्वारा प्रयोग गरिएका आदेशहरूसँग ओभरल्याप हुन्छन्, किमसुकी समूहद्वारा नियोजित C++-आधारित ब्याकडोर मालवेयर। उल्लेखनीय रूपमा, GoBear ले SOCKS5 प्रोक्सी कार्यक्षमता प्रस्तुत गर्दछ, यो विशेषता किमसुकी समूहसँग सम्बन्धित ब्याकडोर मालवेयरमा पहिले उपस्थित थिएन।
