Troll Stealer
Nacionalni državni akter Kimsuky, povezan s Severno Korejo, naj bi uporabil na novo odkrito zlonamerno programsko opremo za krajo informacij, Troll Stealer, zgrajeno na programskem jeziku Golang. Ta grozeča programska oprema je zasnovana za pridobivanje različnih vrst občutljivih podatkov, vključno s poverilnicami SSH, informacijami FileZilla, datotekami in imeniki s pogona C, podatki brskalnika, sistemskimi podrobnostmi in posnetki zaslona, med drugim iz ogroženih sistemov.
Povezava Troll Stealerja s Kimsukyjem je sklepana na podlagi podobnosti z znanimi družinami zlonamerne programske opreme, kot sta AppleSeed in AlphaSeed, ki sta bili prej povezani z isto skupino akterjev groženj.
Kazalo
Kimsuky je aktivna skupina APT (Advanced Persistent Threat).
Kimsuky, alternativno identificiran kot APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (prej Thallium), Nickel Kimball in Velvet Chollima, je znan po svoji nagnjenosti k sodelovanju v ofenzivnih kibernetskih operacijah, katerih cilj je kraj občutljivih in zaupnih informacij.
Novembra 2023 je Urad za nadzor tujega premoženja (OFAC) ministrstva za finance ZDA zahteval sankcije proti tem akterjem groženj zaradi njihove vloge pri zbiranju obveščevalnih podatkov za napredek pri strateških ciljih Severne Koreje.
Ta kontradiktorna skupina je bila povezana tudi z napadi lažnega predstavljanja, usmerjenimi na južnokorejske subjekte, ki uporabljajo različna stranska vrata, vključno z AppleSeed in AlphaSeed.
Operacija napada z uporabo zlonamerne programske opreme Troll Stealer
Preiskava, ki so jo izvedli raziskovalci kibernetske varnosti, je razkrila uporabo kapalke, katere naloga je razporediti kasnejšo grožnjo kraje. Kapalka se prikrije kot namestitvena datoteka za varnostni program, ki naj bi ga izdalo južnokorejsko podjetje, znano kot SGA Solutions. Kar zadeva ime kradljivca, temelji na poti 'D:/~/repo/golang/src/root.go/s/troll/agent', ki je vdelana v njem.
Glede na vpoglede, ki so jih zagotovili strokovnjaki za informacijsko varnost, dropper deluje kot zakonit namestitveni program v povezavi z zlonamerno programsko opremo. Tako kapalka kot zlonamerna programska oprema nosita podpis veljavnega certifikata D2Innovation Co., LTD, kar kaže na morebitno krajo certifikata podjetja.
Pomembna značilnost programa Troll Stealer je njegova zmožnost kraje mape GPKI v ogroženih sistemih, kar namiguje na verjetnost, da je bila zlonamerna programska oprema uporabljena v napadih, usmerjenih na upravne in javne organizacije v državi.
Kimsiky morda razvija svojo taktiko in ogroža Arsenal
Glede na odsotnost dokumentiranih kampanj Kimsukyja, ki vključujejo krajo map GPKI, obstaja špekulacija, da bi opaženo novo vedenje lahko pomenilo premik v taktiki ali dejanja drugega akterja grožnje, tesno povezanega s skupino, ki bi lahko imel dostop do izvorne kode. AppleSeed in AlphaSeed.
Indikacije kažejo tudi na morebitno vpletenost akterja grožnje v stranska vrata GoBear, ki temeljijo na Go. Ta stranska vrata so podpisana z zakonitim potrdilom, povezanim z D2Innovation Co., LTD, in sledi navodilom strežnika Command-and-Control (C2).
Poleg tega se imena funkcij v kodi GoBear prekrivajo z ukazi, ki jih uporablja BetaSeed, zlonamerna programska oprema za stranska vrata, ki temelji na C++ in jo uporablja skupina Kimsuky. Predvsem GoBear predstavlja funkcijo posrednika SOCKS5, funkcije, ki prej ni bila prisotna v zlonamerni programski opremi za zakulisna vrata, povezani s skupino Kimsuky.
