Malware Durian
Grupi i kërcënimit të Koresë së Veriut Kimsuky ka përdorur së fundmi një malware të ri me bazë në Golang të quajtur Durian në operacione specifike kibernetike që synojnë dy kompani të kriptomonedhave të Koresë së Jugut. Durian është një malware i avancuar me aftësi të gjera të prapaskenave, duke e lejuar atë të ekzekutojë komanda, të shkarkojë skedarë dhe të mbledhë të dhëna nga sistemet e komprometuara.
Tabela e Përmbajtjes
Vektor infeksioni për dërgimin e malware Durian
Incidentet ndodhën në gusht dhe nëntor 2023 dhe përfshinin shfrytëzimin e softuerit legjitim që është ekskluziv për Korenë e Jugut si një metodë infeksioni. Metoda specifike e përdorur për të shfrytëzuar këtë softuer ende nuk është zbuluar plotësisht nga studiuesit.
Ajo që kuptohet është se ky softuer vendos komunikim me serverin e sulmuesit, i cili më pas merr një ngarkesë të pasigurt për të nisur procesin e infektimit. Faza fillestare vepron si një instalues për malware të mëtejshëm dhe vendos qëndrueshmërinë në hostin e prekur. Ai gjithashtu lehtëson vendosjen e një malware ngarkues që në fund të fundit shkakton ekzekutimin e Durian.
Malware shtesë i përdorur nga sulmuesit së bashku me Durian
Sulmuesit përdorin Durian për të vendosur malware shtesë, duke përfshirë AppleSeed (mbrapa e preferuar e Kimsuky), një mjet personal proxy i quajtur LazyLoad, së bashku me mjete legjitime si ngrok dhe Chrome Remote Desktop. Objektivi ishte vjedhja e të dhënave të ruajtura në shfletues si cookies dhe kredencialet e hyrjes.
Një pikë interesante në sulm është përdorimi i LazyLoad, i lidhur më parë me Andariel , një nëngrup brenda Grupit L azarus . Kjo sugjeron një bashkëpunim të mundshëm ose përafrim taktik midis këtyre aktorëve të kërcënimit.
Kimsuky mbetet një lojtar kryesor në skenën e krimit kibernetik
Grupi Kimsuky, aktiv që nga viti 2012, njihet gjithashtu me pseudonime të ndryshme, duke përfshirë APT43, Black Banshee, Emerald Sleet (ish Thallium), Springtail, TA427 dhe Velvet Chollima. Besohet se operon nën Qendrën e 63-të të Kërkimit, një divizion i Byrosë së Përgjithshme të Zbulimit (RGB), organizata më e lartë e inteligjencës ushtarake të Koresë së Veriut.
Sipas një alarmi të përbashkët nga Byroja Federale e Hetimeve të SHBA (FBI) dhe Agjencia e Sigurisë Kombëtare (NSA), qëllimi kryesor i Kimsuky është të sigurojë të dhëna të vjedhura dhe njohuri gjeopolitike për regjimin e Koresë së Veriut. Ata e arrijnë këtë duke kompromentuar analistët dhe ekspertët e politikave. Kompromiset e suksesshme i lejojnë aktorët e Kimsuky të zhvillojnë emaile më bindëse spear-phishing për të synuar individë me vlerë më të lartë.
Kimsuky është shoqëruar gjithashtu me fushata që përfshijnë një Trojan të qasjes në distancë të bazuar në C# dhe mbledhës informacioni të njohur si TutorialRAT. Ky malware përdor Dropbox si një platformë për të nisur sulmet, duke synuar të shmangë zbulimin e kërcënimit. Kjo fushatë, që të kujton fushatën e kërcënimit të BabyShark të APT43, përdor teknika të zakonshme spear-phishing, duke përfshirë përdorimin e skedarëve të shkurtoreve (LNK).
