Złośliwe oprogramowanie Duriana
Północnokoreańska grupa zagrożeń Kimsuky wykorzystała niedawno nowe złośliwe oprogramowanie oparte na Golang o nazwie Durian w konkretnych operacjach cybernetycznych wymierzonych w dwie południowokoreańskie firmy kryptowalutowe. Durian to zaawansowane złośliwe oprogramowanie z rozbudowanymi możliwościami backdoora, umożliwiającymi wykonywanie poleceń, pobieranie plików i zbieranie danych z zaatakowanych systemów.
Spis treści
Wektor infekcji odpowiedzialny za dostarczanie złośliwego oprogramowania Durian
Incydenty miały miejsce w sierpniu i listopadzie 2023 r. i polegały na wykorzystaniu jako metody infekcji legalnego oprogramowania, dostępnego wyłącznie w Korei Południowej. Konkretna metoda wykorzystywana do wykorzystania tego oprogramowania nie została jeszcze w pełni odkryta przez badaczy.
Rozumie się, że oprogramowanie to nawiązuje komunikację z serwerem atakującego, który następnie pobiera niebezpieczny ładunek w celu zainicjowania procesu infekcji. Początkowy etap działa jako instalator dalszego złośliwego oprogramowania i ustanawia trwałość na hoście, którego dotyczy problem. Ułatwia także wdrażanie szkodliwego oprogramowania ładującego, które ostatecznie uruchamia wykonanie Duriana.
Dodatkowe złośliwe oprogramowanie wykorzystywane przez atakujących wraz z Durianem
Napastnicy wykorzystują Duriana do wdrażania dodatkowego szkodliwego oprogramowania, w tym AppleSeed (preferowanego backdoora Kimsuky’ego), niestandardowego narzędzia proxy o nazwie LazyLoad, a także legalnych narzędzi, takich jak ngrok i Pulpit zdalny Chrome. Celem była kradzież danych przechowywanych w przeglądarce, takich jak pliki cookie i dane logowania.
Ciekawym punktem ataku jest wykorzystanie LazyLoad, wcześniej powiązanego z Andariel , podgrupą w ramach Grupy Lazarus . Sugeruje to potencjalną współpracę lub taktyczne uzgodnienie między tymi aktorami zagrażającymi.
Kimsuky pozostaje głównym graczem na scenie cyberprzestępczości
Grupa Kimsuky, działająca co najmniej od 2012 roku, znana jest również pod różnymi pseudonimami, w tym APT43, Black Banshee, Emerald Sleet (dawniej Thallium), Springtail, TA427 i Velvet Chollima. Uważa się, że działa w ramach 63. Centrum Badawczego, oddziału Ogólnego Biura Rozpoznania (RGB), najważniejszej organizacji wywiadu wojskowego Korei Północnej.
Według wspólnego ostrzeżenia Federalnego Biura Śledczego Stanów Zjednoczonych (FBI) i Agencji Bezpieczeństwa Narodowego (NSA) głównym celem Kimsuky’ego jest dostarczanie reżimowi północnokoreańskiemu skradzionych danych i spostrzeżeń geopolitycznych. Osiągają to poprzez kompromis z analitykami politycznymi i ekspertami. Udane kompromisy pozwalają aktorom Kimsuky opracowywać bardziej przekonujące e-maile typu spear-phishing, skierowane do osób o większej wartości.
Kimsuky był również powiązany z kampaniami obejmującymi trojana zdalnego dostępu opartego na języku C# i moduł gromadzący informacje znany jako TutorialRAT. To złośliwe oprogramowanie wykorzystuje Dropbox jako platformę do przeprowadzania ataków, których celem jest uniknięcie wykrycia zagrożenia. Kampania ta, przypominająca kampanię zagrożeń BabyShark firmy APT43, wykorzystuje popularne techniki spear-phishingu, w tym wykorzystanie plików skrótów (LNK).
