Durian-malware
De Noord-Koreaanse dreigingsgroep Kimsuky heeft onlangs een nieuwe op Golang gebaseerde malware genaamd Durian gebruikt in specifieke cyberoperaties gericht op twee Zuid-Koreaanse cryptocurrency-bedrijven. Durian is een geavanceerde malware met uitgebreide backdoor-mogelijkheden, waardoor het opdrachten kan uitvoeren, bestanden kan downloaden en gegevens van gecompromitteerde systemen kan verzamelen.
Inhoudsopgave
Infectievector voor de levering van de Durian-malware
De incidenten vonden plaats in augustus en november 2023 en hadden betrekking op de exploitatie van legitieme software die exclusief is voor Zuid-Korea als infectiemethode. De specifieke methode die wordt gebruikt om deze software te exploiteren is nog niet volledig ontdekt door onderzoekers.
Wat wel wordt begrepen, is dat deze software communicatie tot stand brengt met de server van de aanvaller, die vervolgens een onveilige lading ophaalt om het infectieproces te initiëren. De eerste fase fungeert als een installatieprogramma voor verdere malware en zorgt voor persistentie op de getroffen host. Het vergemakkelijkt ook de inzet van een loader-malware die uiteindelijk de uitvoering van Durian activeert.
Aanvullende malware gebruikt door aanvallers naast Durian
De aanvallers gebruiken Durian om aanvullende malware te implementeren, waaronder AppleSeed (de favoriete achterdeur van Kimsuky), een aangepaste proxytool genaamd LazyLoad, samen met legitieme tools zoals ngrok en Chrome Remote Desktop. Het doel was om in de browser opgeslagen gegevens zoals cookies en inloggegevens te stelen.
Een interessant punt in de aanval is het gebruik van LazyLoad, voorheen geassocieerd met Andariel , een subgroep binnen de Lazarus Group . Dit suggereert een mogelijke samenwerking of tactische afstemming tussen deze bedreigingsactoren.
Kimsuky blijft een belangrijke speler op het gebied van cybercriminaliteit
De Kimsuky-groep, actief sinds minstens 2012, is ook bekend onder verschillende aliassen, waaronder APT43, Black Banshee, Emerald Sleet (voorheen Thallium), Springtail, TA427 en Velvet Chollima. Er wordt aangenomen dat het opereert onder het 63rd Research Center, een afdeling van het Reconnaissance General Bureau (RGB), de belangrijkste militaire inlichtingenorganisatie van Noord-Korea.
Volgens een gezamenlijke waarschuwing van het Amerikaanse Federal Bureau of Investigation (FBI) en de National Security Agency (NSA) is het voornaamste doel van Kimsuky het verstrekken van gestolen gegevens en geopolitieke inzichten aan het Noord-Koreaanse regime. Ze bereiken dit door beleidsanalisten en experts in gevaar te brengen. Succesvolle compromissen stellen Kimsuky-actoren in staat overtuigender spearphishing-e-mails te ontwikkelen die zich richten op individuen met een hogere waarde.
Kimsuky is ook in verband gebracht met campagnes waarbij gebruik werd gemaakt van een op C# gebaseerde Trojan voor externe toegang en een informatieverzamelaar, bekend als TutorialRAT. Deze malware gebruikt Dropbox als platform om aanvallen uit te voeren, met als doel de detectie van bedreigingen te omzeilen. Deze campagne, die doet denken aan de BabyShark- bedreigingscampagne van APT43, maakt gebruik van veelgebruikte spearphishing-technieken, waaronder het gebruik van snelkoppelingsbestanden (LNK).
