Zlonamerna programska oprema Durian
Severnokorejska skupina za grožnje Kimsuky je pred kratkim uporabila novo zlonamerno programsko opremo, ki temelji na Golangu, imenovano Durian, v posebnih kibernetskih operacijah, ki ciljajo na dve južnokorejski podjetji za kriptovalute. Durian je napredna zlonamerna programska oprema z obsežnimi backdoor zmožnostmi, ki mu omogočajo izvajanje ukazov, prenos datotek in zbiranje podatkov iz ogroženih sistemov.
Kazalo
Vektor okužbe za dostavo zlonamerne programske opreme Durian
Incidenta sta se zgodila avgusta in novembra 2023 in sta vključevala izkoriščanje zakonite programske opreme, ki je izključno v Južni Koreji, kot način okužbe. Raziskovalci še niso v celoti odkrili specifične metode, uporabljene za izkoriščanje te programske opreme.
Razume se, da ta programska oprema vzpostavi komunikacijo z napadalčevim strežnikom, ki nato pridobi nevaren koristni tovor, da sproži postopek okužbe. Začetna stopnja deluje kot namestitveni program za nadaljnjo zlonamerno programsko opremo in vzpostavi obstojnost na prizadetem gostitelju. Prav tako olajša namestitev zlonamerne programske opreme za nalaganje, ki na koncu sproži izvedbo Duriana.
Dodatna zlonamerna programska oprema, ki jo uporabljajo napadalci poleg Duriana
Napadalci uporabljajo Durian za namestitev dodatne zlonamerne programske opreme, vključno z AppleSeed (Kimsukyjeva prednostna stranska vrata), prilagojenim orodjem proxy z imenom LazyLoad, skupaj z zakonitimi orodji, kot sta ngrok in Chrome Remote Desktop. Cilj je bil ukrasti podatke, shranjene v brskalniku, kot so piškotki in poverilnice za prijavo.
Zanimiva točka v napadu je uporaba LazyLoad, ki je bil prej povezan z Andarielom , podskupino znotraj skupine L azarus . To nakazuje potencialno sodelovanje ali taktično usklajevanje med temi akterji groženj.
Kimsuky ostaja glavni igralec na prizorišču kibernetske kriminalitete
Skupina Kimsuky, ki deluje vsaj od leta 2012, je znana tudi pod različnimi vzdevki, vključno z APT43, Black Banshee, Emerald Sleet (prej Thallium), Springtail, TA427 in Velvet Chollima. Domneva se, da deluje v okviru 63. raziskovalnega centra, oddelka Generalnega izvidniškega urada (RGB), najvišje severnokorejske vojaške obveščevalne organizacije.
Glede na skupno opozorilo ameriškega Zveznega preiskovalnega urada (FBI) in Nacionalne varnostne agencije (NSA) je glavni cilj Kimsukyja zagotoviti ukradene podatke in geopolitične vpoglede severnokorejskemu režimu. To dosežejo s kompromitiranjem političnih analitikov in strokovnjakov. Uspešni kompromisi omogočajo akterjem Kimsukyja, da razvijejo bolj prepričljiva e-poštna sporočila z lažnim predstavljanjem za ciljanje na posameznike višje vrednosti.
Kimsuky je bil povezan tudi s kampanjami, ki vključujejo trojanca za oddaljeni dostop, ki temelji na C#, in zbiralnik informacij, znan kot TutorialRAT. Ta zlonamerna programska oprema uporablja Dropbox kot platformo za zagon napadov, da bi se izognila zaznavanju groženj. Ta kampanja, ki spominja na kampanjo groženj BabyShark podjetja APT43, uporablja običajne tehnike lažnega predstavljanja, vključno z uporabo datotek bližnjic (LNK).
