Troll Stealer
Uważa się, że aktor państwowy Kimsuky, powiązany z Koreą Północną, wdrożył nowo zidentyfikowane złośliwe oprogramowanie kradnące informacje, Troll Stealer, oparte na języku programowania Golang. To groźne oprogramowanie ma na celu wyodrębnianie różnego rodzaju wrażliwych danych, w tym między innymi danych uwierzytelniających SSH, informacji FileZilla, plików i katalogów z dysku C, danych przeglądarki, szczegółów systemu i zrzutów ekranu, z zaatakowanych systemów.
Powiązanie Troll Stealer z Kimsuky można wywnioskować na podstawie jego podobieństwa do dobrze znanych rodzin szkodliwego oprogramowania, takich jak AppleSeed i AlphaSeed, obie wcześniej powiązane z tą samą grupą podmiotów zagrażających.
Spis treści
Kimsuky to aktywna grupa APT (Advanced Persistent Threat).
Kimsuky, alternatywnie identyfikowany jako APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (dawniej Thallium), Nickel Kimball i Velvet Chollima, jest znany ze swojej skłonności do angażowania się w ofensywne operacje cybernetyczne mające na celu kradzież wrażliwych i poufnych informacji.
W listopadzie 2023 r. Biuro Kontroli Aktywów Zagranicznych (OFAC) Departamentu Skarbu USA nałożyło sankcje na te podmioty zagrażające za ich rolę w gromadzeniu informacji wywiadowczych na potrzeby realizacji strategicznych celów Korei Północnej.
Tę wrogą grupę powiązano także z atakami typu spear-phishing skierowanymi na podmioty z Korei Południowej, wykorzystującymi różne backdoory, w tym AppleSeed i AlphaSeed.
Operacja ataku wykorzystująca złośliwe oprogramowanie Złodziej trolli
Badanie przeprowadzone przez badaczy cyberbezpieczeństwa ujawniło wykorzystanie droppera, którego zadaniem jest wdrożenie kolejnego zagrożenia polegającego na kradzieży. Dropper podszywa się pod plik instalacyjny programu zabezpieczającego rzekomo pochodzącego z Korei Południowej firmy znanej jako SGA Solutions. Jeśli chodzi o nazwę złodzieja, jest ona oparta na zawartej w niej ścieżce „D:/~/repo/golang/src/root.go/s/troll/agent”.
Zgodnie ze spostrzeżeniami ekspertów ds. bezpieczeństwa informacji, dropper działa jako legalny instalator w połączeniu ze złośliwym oprogramowaniem. Zarówno dropper, jak i szkodliwe oprogramowanie są opatrzone podpisem ważnego certyfikatu D2Innovation Co., LTD, wskazującego na potencjalną kradzież certyfikatu firmy.
Godną uwagi cechą Troll Stealer jest jego zdolność do kradzieży folderu GPKI w zaatakowanych systemach, co wskazuje na prawdopodobieństwo, że złośliwe oprogramowanie zostało wykorzystane w atakach skierowanych na organizacje administracyjne i publiczne w kraju.
Kimsiky może zmieniać swoją taktykę i stanowić zagrożenie dla Arsenalu
W świetle braku udokumentowanych kampanii Kimsuky polegających na kradzieży folderów GPKI spekuluje się, że zaobserwowane nowe zachowanie może oznaczać zmianę taktyki lub działania innego ugrupowania zagrażającego blisko powiązanego z grupą, potencjalnie posiadającego dostęp do kodu źródłowego AppleSeed i AlphaSeed.
Wiele wskazuje również na potencjalne zaangażowanie ugrupowania zagrażającego w backdoora opartego na Go o nazwie GoBear. Ten backdoor jest podpisany legalnym certyfikatem powiązanym z D2Innovation Co., LTD i postępuje zgodnie z instrukcjami z serwera dowodzenia i kontroli (C2).
Co więcej, nazwy funkcji w kodzie GoBear pokrywają się z poleceniami używanymi przez BetaSeed, szkodliwe oprogramowanie typu backdoor oparte na języku C++ wykorzystywane przez grupę Kimsuky. Warto zauważyć, że GoBear wprowadza funkcję proxy SOCKS5, funkcję, która wcześniej nie była dostępna w złośliwym oprogramowaniu typu backdoor powiązanym z grupą Kimsuky.
