Durian Malware
Severokórejská skupina hrozieb Kimsuky nedávno využila nový malvér na báze Golang s názvom Durian v špecifických kybernetických operáciách zameraných na dve juhokórejské kryptomenové spoločnosti. Durian je pokročilý malvér s rozsiahlymi funkciami backdoor, ktorý mu umožňuje vykonávať príkazy, sťahovať súbory a zbierať údaje z napadnutých systémov.
Obsah
Vektor infekcie na doručenie škodlivého softvéru Durian
Incidenty sa odohrali v auguste a novembri 2023 a zahŕňali zneužívanie legitímneho softvéru, ktorý je exkluzívny pre juhokórejský spôsob infekcie. Výskumníci zatiaľ úplne neodhalili špecifickú metódu používanú na využívanie tohto softvéru.
Rozumie sa, že tento softvér nadviaže komunikáciu s útočníkovým serverom, ktorý potom načíta nebezpečný náklad na spustenie procesu infekcie. Počiatočná fáza funguje ako inštalátor pre ďalší malvér a vytvára pretrvávanie na postihnutom hostiteľovi. Uľahčuje tiež nasadenie malvéru zavádzača, ktorý v konečnom dôsledku spúšťa spustenie Durianu.
Ďalší malvér využívaný útočníkmi popri Durianovi
Útočníci používajú Durian na nasadenie ďalšieho škodlivého softvéru vrátane AppleSeed (preferovaný backdoor Kimsuky), vlastného proxy nástroja s názvom LazyLoad, spolu s legitímnymi nástrojmi, ako sú ngrok a Chrome Remote Desktop. Cieľom bolo ukradnúť údaje uložené v prehliadači, ako sú súbory cookie a prihlasovacie údaje.
Zaujímavým bodom v útoku je využitie LazyLoad, ktorý bol predtým spojený s Andariel , podskupinou v rámci L azarus Group . To naznačuje potenciálnu spoluprácu alebo taktické zosúladenie medzi týmito aktérmi hrozby.
Kimsuky zostáva hlavným hráčom na scéne počítačovej kriminality
Skupina Kimsuky, aktívna minimálne od roku 2012, je tiež známa pod rôznymi prezývkami, vrátane APT43, Black Banshee, Emerald Sleet (predtým Thallium), Springtail, TA427 a Velvet Chollima. Predpokladá sa, že pôsobí v rámci 63. výskumného centra, divízie Reconnaissance General Bureau (RGB), najvyššej severokórejskej vojenskej spravodajskej organizácie.
Podľa spoločného varovania amerického Federálneho úradu pre vyšetrovanie (FBI) a Národnej bezpečnostnej agentúry (NSA) je Kimsukyho primárnym cieľom poskytnúť severokórejskému režimu ukradnuté údaje a geopolitické poznatky. Dosahujú to kompromitovaním politických analytikov a expertov. Úspešné kompromisy umožňujú hercom Kimsuky vyvinúť presvedčivejšie e-maily typu spear-phishing na zacielenie na jednotlivcov s vyššou hodnotou.
Kimsuky bol tiež spájaný s kampaňami zahŕňajúcimi trójsky kôň so vzdialeným prístupom založený na C# a zberač informácií známy ako TutorialRAT. Tento malvér používa Dropbox ako platformu na spustenie útokov, ktorých cieľom je vyhnúť sa detekcii hrozieb. Táto kampaň pripomínajúca kampaň BabyShark od APT43 využíva bežné techniky spear-phishingu, vrátane použitia súborov skratiek (LNK).
