Дуриан Малваре
Севернокорејска група за претње Кимсуки недавно је користила нови малвер заснован на Голангу под називом Дуриан у специфичним сајбер операцијама усмереним на две јужнокорејске компаније за криптовалуте. Дуриан је напредни малвер са широким бацкдоор могућностима, омогућавајући му да извршава команде, преузима датотеке и прикупља податке са компромитованих система.
Преглед садржаја
Вектор инфекције за испоруку Дуриан малвера
Инциденти су се догодили у августу и новембру 2023. и укључивали су експлоатацију легитимног софтвера који је ексклузиван за јужнокорејски као метод заразе. Истраживачи још увек нису у потпуности открили специфичну методу која се користи за експлоатацију овог софтвера.
Оно што се подразумева је да овај софтвер успоставља комуникацију са сервером нападача, који затим преузима небезбедно оптерећење да би покренуо процес инфекције. Почетна фаза делује као инсталатер за даљи малвер и успоставља постојаност на погођеном хосту. Такође олакшава примену злонамерног софтвера за учитавање који на крају покреће Дурианово погубљење.
Додатни злонамерни софтвер који користе нападачи уз Дуриан
Нападачи користе Дуриан за примену додатног малвера, укључујући АпплеСеед (Кимсукијев преферирани бацкдоор), прилагођени прокси алат под називом ЛазиЛоад, заједно са легитимним алатима као што су нгрок и Цхроме Ремоте Десктоп. Циљ је био да се украду подаци сачувани у претраживачу као што су колачићи и акредитиви за пријаву.
Занимљива тачка у нападу је коришћење ЛазиЛоад-а, раније повезаног са Андариелом , подгрупом унутар Л азарус групе . Ово указује на потенцијалну сарадњу или тактичко усклађивање између ових претњи.
Кимсуки остаје главни играч на месту сајбер злочина
Група Кимсуки, активна најмање од 2012. године, такође је позната по разним псеудонима, укључујући АПТ43, Блацк Бансхее, Емералд Слеет (раније Тхалиум), Спрингтаил, ТА427 и Велвет Цхоллима. Верује се да делује у оквиру 63. истраживачког центра, одељења Генералног бироа за извиђање (РГБ), највеће војно-обавештајне организације Северне Кореје.
Према заједничком упозорењу америчког Федералног истражног бироа (ФБИ) и Агенције за националну безбедност (НСА), Кимсукијев примарни циљ је да обезбеди украдене податке и геополитичке увиде севернокорејском режиму. Они то постижу компромитујући политичке аналитичаре и стручњаке. Успешни компромиси омогућавају глумцима Кимсукија да развију убедљивије мејлове за крађу идентитета за циљање појединаца веће вредности.
Кимсуки је такође био повезан са кампањама које укључују тројанца за даљински приступ заснован на Ц# и сакупљача информација познатог као ТуториалРАТ. Овај злонамерни софтвер користи Дропбок као платформу за покретање напада, са циљем да избегне откривање претњи. Ова кампања, која подсећа на кампању претњи БабиСхарк компаније АПТ43, користи уобичајене технике пхисхинг-а, укључујући употребу пречица (ЛНК) датотека.
