Durian Malware
Grupul de amenințări nord-coreean Kimsuky a utilizat recent un nou malware bazat pe Golang, numit Durian, în anumite operațiuni cibernetice care vizează două companii de criptomonede sud-coreene. Durian este un program malware avansat cu capabilități extinse de ușă în spate, permițându-i să execute comenzi, să descarce fișiere și să colecteze date din sistemele compromise.
Cuprins
Vector de infecție pentru livrarea malware-ului Durian
Incidentele au avut loc în august și noiembrie 2023 și au implicat exploatarea de software legitim care este exclusiv sud-coreean ca metodă de infectare. Metoda specifică folosită pentru exploatarea acestui software nu este încă pe deplin descoperită de cercetători.
Ceea ce se înțelege este că acest software stabilește comunicarea cu serverul atacatorului, care apoi preia o sarcină utilă nesigură pentru a iniția procesul de infecție. Etapa inițială acționează ca un program de instalare pentru alte programe malware și stabilește persistența pe gazda afectată. De asemenea, facilitează implementarea unui malware de încărcare care declanșează în cele din urmă execuția lui Durian.
Malware suplimentar utilizat de atacatori alături de Durian
Atacatorii folosesc Durian pentru a implementa programe malware suplimentare, inclusiv AppleSeed (ușa din spate preferată de Kimsuky), un instrument proxy personalizat numit LazyLoad, împreună cu instrumente legitime precum ngrok și Chrome Remote Desktop. Obiectivul a fost să fure datele stocate în browser, cum ar fi cookie-urile și acreditările de conectare.
Un punct interesant al atacului este utilizarea LazyLoad, asociat anterior cu Andariel , un subgrup din L azarus Group . Acest lucru sugerează o potențială colaborare sau aliniere tactică între acești actori amenințări.
Kimsuky rămâne un jucător major pe scena crimei cibernetice
Grupul Kimsuky, activ din cel puțin 2012, este cunoscut și sub diferite pseudonime, inclusiv APT43, Black Banshee, Emerald Sleet (fostă Thallium), Springtail, TA427 și Velvet Chollima. Se crede că funcționează în cadrul celui de-al 63-lea Centru de Cercetare, o divizie a Biroului General de Recunoaștere (RGB), cea mai importantă organizație de informații militare din Coreea de Nord.
Potrivit unei alerte comune a Biroului Federal de Investigații al SUA (FBI) și Agenției Naționale de Securitate (NSA), obiectivul principal al lui Kimsuky este de a furniza date furate și perspective geopolitice regimului nord-coreean. Ei reușesc acest lucru compromițând analiștii și experții politici. Compromisurile reușite le permit actorilor Kimsuky să dezvolte e-mailuri de tip spear-phishing mai convingătoare pentru a viza persoane cu valoare mai mare.
Kimsuky a fost, de asemenea, asociat cu campanii care implică un troian de acces la distanță bazat pe C# și un colector de informații cunoscut sub numele de TutorialRAT. Acest malware folosește Dropbox ca platformă pentru a lansa atacuri, cu scopul de a evita detectarea amenințărilor. Această campanie, care amintește de campania de amenințare BabyShark de la APT43, folosește tehnici comune de spear-phishing, inclusiv utilizarea fișierelor de comenzi rapide (LNK).
