Troll Stealer
De natiestaatacteur Kimsuky, geassocieerd met Noord-Korea, zou een nieuw geïdentificeerde informatiestelende malware hebben ingezet, de Troll Stealer, gebouwd op de programmeertaal Golang. Deze bedreigende software is ontworpen om verschillende soorten gevoelige gegevens, waaronder SSH-inloggegevens, FileZilla-informatie, bestanden en mappen van de C-schijf, browsergegevens, systeemdetails en schermafbeeldingen, uit gecompromitteerde systemen te extraheren.
De connectie van Troll Stealer met Kimsuky wordt afgeleid uit de gelijkenissen met bekende malwarefamilies zoals AppleSeed en AlphaSeed, beide eerder gekoppeld aan dezelfde groep bedreigingsactoren.
Inhoudsopgave
Kimsuky is een actieve APT-groep (Advanced Persistent Threat).
Kimsuky, ook wel APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (voorheen Thallium), Nickel Kimball en Velvet Chollima genoemd, staat bekend om zijn neiging om deel te nemen aan offensieve cyberoperaties gericht op het stelen van gevoelige en vertrouwelijke informatie.
In november 2023 heeft het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën sancties opgelegd aan deze dreigingsactoren vanwege hun rol bij het verzamelen van inlichtingen om de strategische doelen van Noord-Korea te bevorderen.
Deze vijandige groep is ook in verband gebracht met spearphishing-aanvallen gericht op Zuid-Koreaanse entiteiten, waarbij gebruik wordt gemaakt van verschillende achterdeurtjes, waaronder AppleSeed en AlphaSeed.
De aanvalsoperatie waarbij de Troll Stealer-malware wordt ingezet
Een onderzoek uitgevoerd door cybersecurity-onderzoekers heeft het gebruik van een dropper onthuld die belast is met het inzetten van de daaropvolgende stealer-dreiging. De druppelaar vermomt zichzelf als een installatiebestand voor een beveiligingsprogramma dat ogenschijnlijk afkomstig is van een Zuid-Koreaans bedrijf dat bekend staat als SGA Solutions. De naam van de stealer is gebaseerd op het daarin ingebedde pad 'D:/~/repo/golang/src/root.go/s/troll/agent'.
Volgens de inzichten van informatiebeveiligingsexperts fungeert de dropper als een legitiem installatieprogramma in combinatie met de malware. Zowel de dropper als de malware zijn voorzien van de handtekening van een geldig certificaat van D2Innovation Co., LTD, wat wijst op een mogelijke diefstal van het certificaat van het bedrijf.
Een opvallend kenmerk van de Troll Stealer is zijn vermogen om de GPKI-map op gecompromitteerde systemen te stelen, wat erop duidt dat de malware waarschijnlijk is gebruikt bij aanvallen gericht op administratieve en publieke organisaties in het land.
Kimsiky gaat mogelijk zijn tactiek evolueren en Arsenal bedreigen
In het licht van de afwezigheid van gedocumenteerde Kimsuky-campagnes waarbij GPKI-mappen werden gestolen, wordt er gespeculeerd dat het waargenomen nieuwe gedrag een verschuiving in de tactiek of de acties zou kunnen betekenen van een andere bedreigingsacteur die nauw verbonden is met de groep en mogelijk toegang heeft tot de broncode. van AppleSeed en AlphaSeed.
Er zijn ook aanwijzingen dat de bedreigingsacteur mogelijk betrokken is bij een op Go gebaseerde achterdeur genaamd GoBear. Deze achterdeur is ondertekend met een legitiem certificaat dat is gekoppeld aan D2Innovation Co., LTD en volgt de instructies van een Command-and-Control (C2)-server.
Bovendien overlappen de functienamen in de code van GoBear met opdrachten die worden gebruikt door BetaSeed, een op C++ gebaseerde achterdeur-malware die wordt gebruikt door de Kimsuky-groep. Opvallend is dat GoBear de SOCKS5-proxyfunctionaliteit introduceert, een functie die nog niet eerder aanwezig was in de backdoor-malware die geassocieerd wordt met de Kimsuky-groep.
