Troll Stealer
Верује се да је актер националне државе Кимсуки, повезан са Северном Корејом, применио новоидентификовани малвер за крађу информација, Тролл Стеалер, изграђен на програмском језику Голанг. Овај претећи софтвер је дизајниран да издвоји различите типове осетљивих података, укључујући ССХ акредитиве, ФилеЗилла информације, датотеке и директоријуме са Ц диска, податке претраживача, детаље о систему и снимке екрана, између осталог, из компромитованих система.
Повезаност Тролл Стеалер-а са Кимсуки-јем произилази из његове сличности са познатим породицама малвера као што су АпплеСеед и АлпхаСеед, оба претходно повезана са истом групом претњи.
Преглед садржаја
Кимсуки је активна АПТ (Адванцед Персистент Тхреат) група
Кимсуки, алтернативно идентификован као АПТ43, АРЦХИПЕЛАГО, Блацк Бансхее, Емералд Слеет (раније Тхалиум), Ницкел Кимбалл и Велвет Цхоллима, познат је по својој склоности да се укључи у офанзивне сајбер операције које имају за циљ крађу осетљивих и поверљивих информација.
У новембру 2023. године, Канцеларија за контролу стране имовине америчког Министарства финансија (ОФАЦ) је извршила санкције овим актерима претњи због њихове улоге у прикупљању обавештајних података за унапређење стратешких циљева Северне Кореје.
Ова непријатељска група је такође повезана са нападима спеар-пхисхинг усмереним на јужнокорејске ентитете, користећи различите бацкдоор, укључујући АпплеСеед и АлпхаСеед.
Операција напада применом малвера Тролл Стеалер
Испитивање које су спровели истраживачи кибернетичке безбедности открило је употребу капалице која има задатак да примени претњу крадљивца. Капалица се прерушава као инсталациони фајл за безбедносни програм наводно из јужнокорејске фирме познате као СГА Солутионс. Што се тиче имена крадљиваца, оно се заснива на путањи 'Д:/~/репо/голанг/срц/роот.го/с/тролл/агент' која је уграђена у њега.
Према увидима стручњака за безбедност информација, дроппер функционише као легитимни инсталатер у комбинацији са малвером. И дроппер и малвер носе потпис важећег сертификата Д2Инноватион Цо., ЛТД, што указује на потенцијалну крађу сертификата компаније.
Значајна карактеристика Тролл Стеалер-а је његова способност да украде ГПКИ фасциклу на компромитованим системима, наговештавајући вероватноћу да је малвер коришћен у нападима усмереним на административне и јавне организације у земљи.
Кимсики можда развија своју тактику и прети Арсеналу
У светлу одсуства документованих Кимсуки кампања које укључују крађу ГПКИ фасцикли, постоје спекулације да би уочено ново понашање могло значити промену тактике или акције другог актера претње блиско повезаног са групом, који потенцијално поседује приступ изворном коду АпплеСеед-а и АлпхаСеед-а.
Индикације такође указују на потенцијалну умешаност актера претње у бацкдоор заснован на Го-у по имену ГоБеар. Овај бацкдоор је потписан легитимним сертификатом повезаним са Д2Инноватион Цо., ЛТД и прати упутства са сервера за команду и контролу (Ц2).
Штавише, имена функција у ГоБеар-овом коду се преклапају са командама које користи БетаСеед, бацкдоор малвер заснован на Ц++-у који користи група Кимсуки. Посебно, ГоБеар уводи СОЦКС5 проки функционалност, функцију која раније није била присутна у бацкдоор малверу повезаном са групом Кимсуки.
