Troll Stealer
Se crede că actorul de stat național Kimsuky, asociat cu Coreea de Nord, a implementat un malware de furt de informații nou identificat, Troll Stealer, construit pe limbajul de programare Golang. Acest software amenințător este conceput pentru a extrage diferite tipuri de date sensibile, inclusiv acreditări SSH, informații FileZilla, fișiere și directoare de pe unitatea C, date browser, detalii de sistem și capturi de ecran, printre altele, din sistemele compromise.
Legătura lui Troll Stealer cu Kimsuky este dedusă din asemănările sale cu familiile de malware bine-cunoscute precum AppleSeed și AlphaSeed, ambele legate anterior de același grup de amenințări.
Cuprins
Kimsuky este un grup activ APT (Advanced Persistent Threat).
Kimsuky, identificat alternativ ca APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (fostă Thallium), Nickel Kimball și Velvet Chollima, este renumit pentru tendința sa de a se angaja în operațiuni cibernetice ofensive care vizează furtul de informații sensibile și confidențiale.
În noiembrie 2023, Biroul pentru Controlul Activelor Străine (OFAC) al Departamentului Trezoreriei SUA a impus sancțiuni împotriva acestor actori amenințări pentru rolul lor în colectarea informațiilor pentru a promova obiectivele strategice ale Coreei de Nord.
Acest grup adversar a fost, de asemenea, legat de atacuri de tip spear-phishing îndreptate către entități sud-coreene, utilizând diverse uși din spate, inclusiv AppleSeed și AlphaSeed.
Operațiunea de atac care implementează malware-ul Troll Stealer
O examinare efectuată de cercetătorii în domeniul securității cibernetice a dezvăluit utilizarea unui dropper însărcinat cu desfășurarea amenințării ulterioare de furt. Dropper-ul se deghizează ca fișier de instalare pentru un program de securitate care se presupune că de la o firmă sud-coreeană cunoscută sub numele de SGA Solutions. În ceea ce privește numele furatorului, acesta se bazează pe calea „D:/~/repo/golang/src/root.go/s/troll/agent” încorporată în acesta.
Conform informațiilor furnizate de experții în securitatea informațiilor, dropper-ul funcționează ca un program de instalare legitim împreună cu malware-ul. Atât dropper-ul, cât și malware-ul poartă semnătura unui certificat valid D2Innovation Co., LTD, care indică un potențial furt al certificatului companiei.
O caracteristică notabilă a Troll Stealer este capacitatea sa de a fura folderul GPKI pe sisteme compromise, sugerând probabilitatea ca malware-ul să fi fost folosit în atacuri îndreptate către organizații administrative și publice din țară.
Kimsiky își poate evolua tacticile și ar putea amenința Arsenalul
Având în vedere absența unor campanii Kimsuky documentate care implică furtul de foldere GPKI, există speculații că noul comportament observat ar putea semnifica o schimbare a tacticii sau acțiunile unui alt actor de amenințare strâns afiliat grupului, care ar putea avea acces la codul sursă. de AppleSeed și AlphaSeed.
Indicațiile indică, de asemenea, potențiala implicare a actorului amenințării într-o ușă din spate bazată pe Go, numită GoBear. Această ușă din spate este semnată cu un certificat legitim legat de D2Innovation Co., LTD și urmează instrucțiunile de la un server Command-and-Control (C2).
Mai mult, numele funcțiilor din codul GoBear se suprapun cu comenzile utilizate de BetaSeed, un malware bazat pe C++, folosit de grupul Kimsuky. În special, GoBear introduce funcționalitatea proxy SOCKS5, o caracteristică care nu era prezentă anterior în malware-ul backdoor asociat grupului Kimsuky.
