Troll Stealer
Предполагается, что национальный государственный деятель Кимсуки, связанный с Северной Кореей, применил недавно обнаруженную вредоносную программу для кражи информации Troll Stealer, созданную на языке программирования Golang. Это угрожающее программное обеспечение предназначено для извлечения различных типов конфиденциальных данных, включая учетные данные SSH, информацию FileZilla, файлы и каталоги с диска C, данные браузера, сведения о системе и снимки экрана, среди прочего, из скомпрометированных систем.
Связь Troll Stealer с Kimsuky вытекает из его сходства с известными семействами вредоносных программ, такими как AppleSeed и AlphaSeed, которые ранее были связаны с одной и той же группой злоумышленников.
Оглавление
Kimsuky — активная группа APT (Advanced Persistent Threat)
Кимсуки, также известный как APT43, АРХИПЕЛАГО, Черная Банши, Изумрудный Слит (ранее Таллий), Никель Кимбалл и Вельвет Чоллима, известен своей склонностью участвовать в наступательных кибероперациях, направленных на кражу конфиденциальной и конфиденциальной информации.
В ноябре 2023 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) потребовало санкций против этих субъектов угроз за их роль в сборе разведывательной информации для достижения стратегических целей Северной Кореи.
Эта враждебная группа также была связана с целевыми фишинговыми атаками, направленными на южнокорейские организации с использованием различных бэкдоров, включая AppleSeed и AlphaSeed.
Атака с использованием вредоносного ПО Troll Stealer
Исследование, проведенное исследователями кибербезопасности, выявило использование дроппера, которому было поручено развернуть последующую угрозу кражи. Дроппер маскируется под установочный файл программы безопасности предположительно от южнокорейской фирмы SGA Solutions. Что касается имени вора, то оно основано на встроенном в него пути «D:/~/repo/golang/src/root.go/s/troll/agent».
По мнению экспертов по информационной безопасности, дроппер работает как законный установщик вместе с вредоносным ПО. И дроппер, и вредоносное ПО имеют подпись действующего сертификата D2Innovation Co., LTD, что указывает на потенциальную кражу сертификата компании.
Примечательной особенностью Troll Stealer является его способность красть папку GPKI на скомпрометированных системах, что намекает на вероятность того, что вредоносное ПО использовалось в атаках, направленных на административные и общественные организации внутри страны.
Кимсики может развивать свою тактику и угрожать «Арсеналу»
Ввиду отсутствия задокументированных кампаний Кимсуки, связанных с кражей папок GPKI, существует предположение, что наблюдаемое новое поведение может означать изменение тактики или действия другого злоумышленника, тесно связанного с группой и потенциально обладающего доступом к исходному коду. AppleSeed и AlphaSeed.
Признаки также указывают на потенциальное участие злоумышленника в бэкдоре GoBear на основе Go. Этот бэкдор подписан законным сертификатом, связанным с D2Innovation Co., LTD, и следует инструкциям сервера управления и контроля (C2).
Кроме того, имена функций в коде GoBear совпадают с командами, используемыми BetaSeed, бэкдор-вредоносной программой на основе C++, используемой группой Kimsuky. Примечательно, что GoBear представляет функцию прокси-сервера SOCKS5 — функцию, которая ранее не присутствовала в бэкдорном вредоносном ПО, связанном с группой Kimsuky.
