Дуриан Вредоносное ПО
Северокорейская группа угроз Kimsuky недавно использовала новое вредоносное ПО на базе Golang под названием Durian в конкретных кибероперациях, нацеленных на две южнокорейские криптовалютные компании. Durian — это продвинутое вредоносное ПО с обширными возможностями бэкдора, позволяющее ему выполнять команды, загружать файлы и собирать данные из скомпрометированных систем.
Оглавление
Вектор заражения для доставки вредоносного ПО Durian
Инциденты произошли в августе и ноябре 2023 года и включали использование легального программного обеспечения, эксклюзивного для Южной Кореи, в качестве метода заражения. Конкретный метод, используемый для эксплуатации этого программного обеспечения, еще не полностью раскрыт исследователями.
Подразумевается, что это программное обеспечение устанавливает связь с сервером злоумышленника, который затем получает небезопасную полезную нагрузку, чтобы инициировать процесс заражения. Начальный этап действует как установщик для дальнейшего вредоносного ПО и обеспечивает постоянство на затронутом хосте. Это также облегчает развертывание вредоносного ПО-загрузчика, которое в конечном итоге запускает выполнение Дуриана.
Дополнительное вредоносное ПО, используемое злоумышленниками наряду с Дурианом
Злоумышленники используют Durian для развертывания дополнительных вредоносных программ, включая AppleSeed (предпочитаемый бэкдор Кимсуки), специальный прокси-инструмент под названием LazyLoad, а также законные инструменты, такие как ngrok и Chrome Remote Desktop. Целью было украсть данные, хранящиеся в браузере, такие как файлы cookie и учетные данные для входа.
Интересным моментом в атаке является использование LazyLoad, ранее связанного с Andariel , подгруппой внутри Lazarus Group . Это предполагает потенциальное сотрудничество или тактическое согласование между этими субъектами угроз.
Кимсуки остается крупным игроком на сцене киберпреступности
Группа Кимсуки, действующая как минимум с 2012 года, также известна под различными псевдонимами, включая APT43, Black Banshee, Emerald Sleet (ранее Thallium), Springtail, TA427 и Velvet Chollima. Предполагается, что он действует в составе 63-го исследовательского центра, подразделения Главного разведывательного управления (РГБ), ведущей военной разведывательной организации Северной Кореи.
Согласно совместному предупреждению Федерального бюро расследований США (ФБР) и Агентства национальной безопасности (АНБ), основная цель Кимсуки — предоставить украденные данные и геополитическую информацию северокорейскому режиму. Они достигают этого, компрометируя политических аналитиков и экспертов. Успешные компромиссы позволяют субъектам Кимсуки разрабатывать более убедительные целевые фишинговые электронные письма для атак на более ценных лиц.
Кимсуки также был связан с кампаниями, в которых использовался троян удаленного доступа на базе C# и сборщик информации, известный как TutorialRAT. Это вредоносное ПО использует Dropbox в качестве платформы для проведения атак, стремясь избежать обнаружения угроз. Эта кампания, напоминающая кампанию по угрозе BabyShark APT43, использует распространенные методы целевого фишинга, включая использование файлов ярлыков (LNK).
