Durian Malware
O grupo de ameaças norte-coreano Kimsuky utilizou recentemente um novo malware baseado em Golang chamado Durian em operações cibernéticas específicas visando duas empresas sul-coreanas de criptomoeda. Durian é um malware avançado com amplos recursos de backdoor, permitindo executar comandos, baixar arquivos e coletar dados de sistemas comprometidos.
Índice
O Vetor de Infecção para a Entrega do Durian Malware
Os incidentes ocorreram em agosto e novembro de 2023 e envolveram a exploração de software legítimo exclusivo da sul-coreana como método de infecção. O método específico usado para explorar este software ainda não foi totalmente descoberto pelos pesquisadores.
O que se entende é que este software estabelece comunicação com o servidor do invasor, que então recupera uma carga insegura para iniciar o processo de infecção. O estágio inicial atua como um instalador de malware adicional e estabelece persistência no host afetado. Também facilita a implantação de um malware carregador que, em última análise, aciona a execução do Durian.
O Malware Utilizado Junto com o Durian pelos Invasores
Os invasores usam Durian para implantar malware adicional, incluindo AppleSeed (backdoor preferido de Kimsuky), uma ferramenta de proxy personalizada chamada LazyLoad, junto com ferramentas legítimas como ngrok e Chrome Remote Desktop. O objetivo era roubar dados armazenados no navegador, como cookies e credenciais de login.
Um ponto interessante no ataque é a utilização do LazyLoad, anteriormente associado ao Andariel, um subgrupo do Grupo Lazarus. Isto sugere uma potencial colaboração ou alinhamento tático entre esses atores de ameaças.
O Kimsuky Continua sendo um Autor Importante no Cenário do Crime Cibernético
O grupo Kimsuky, ativo desde pelo menos 2012, também é conhecido por vários pseudônimos, incluindo APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 e Velvet Chollima. Acredita-se que opere sob o 63º Centro de Pesquisa, uma divisão do Reconnaissance General Bureau (RGB), a principal organização de inteligência militar da Coreia do Norte.
De acordo com um alerta conjunto do Federal Bureau of Investigation (FBI) dos EUA e da Agência de Segurança Nacional (NSA), o principal objetivo de Kimsuky é fornecer dados roubados e informações geopolíticas ao regime norte-coreano. Eles conseguem isso comprometendo analistas e especialistas políticos. Comprometimentos bem-sucedidos permitem que os atores do Kimsuky desenvolvam e-mails de spear-phishing mais convincentes para atingir indivíduos de maior valor.
Kimsuky também foi associado a campanhas envolvendo um Trojan de acesso remoto baseado em C# e coletor de informações conhecido como TutorialRAT. Este malware usa o Dropbox como plataforma para lançar ataques, com o objetivo de evitar a detecção de ameaças. Esta campanha, que lembra a campanha de ameaças BabyShark do APT43, emprega técnicas comuns de spear-phishing, incluindo o uso de arquivos de atalho (LNK).
