Durian Malware
Den nordkoreanska hotgruppen Kimsuky har nyligen använt en ny Golang-baserad skadlig kod vid namn Durian i specifika cyberoperationer riktade mot två sydkoreanska kryptovalutaföretag. Durian är en avancerad skadlig programvara med omfattande bakdörrsfunktioner, som gör att den kan köra kommandon, ladda ner filer och samla in data från komprometterade system.
Innehållsförteckning
Infektionsvektor för leverans av Durian Malware
Incidenterna ägde rum i augusti och november 2023 och involverade exploatering av legitim programvara som är exklusiv för sydkoreanska som infektionsmetod. Den specifika metod som används för att utnyttja denna programvara är ännu inte helt avslöjad av forskare.
Vad som förstås är att denna programvara upprättar kommunikation med angriparens server, som sedan hämtar en osäker nyttolast för att initiera infektionsprocessen. Det inledande skedet fungerar som ett installationsprogram för ytterligare skadlig programvara och etablerar persistens på den drabbade värden. Det underlättar också driftsättningen av en skadlig programvara för loader som i slutändan utlöser Durians exekvering.
Ytterligare skadlig programvara som används av angripare tillsammans med Durian
Angriparna använder Durian för att distribuera ytterligare skadlig programvara, inklusive AppleSeed (Kimsukys föredragna bakdörr), ett anpassat proxyverktyg som heter LazyLoad, tillsammans med legitima verktyg som ngrok och Chrome Remote Desktop. Målet var att stjäla webbläsarlagrad data som cookies och inloggningsuppgifter.
En intressant punkt i attacken är användningen av LazyLoad, som tidigare associerats med Andariel , en undergrupp inom L azarusgruppen . Detta tyder på ett potentiellt samarbete eller taktisk anpassning mellan dessa hotaktörer.
Kimsuky förblir en storspelare på cyberbrottsscenen
Kimsuky-gruppen, aktiv sedan åtminstone 2012, är också känd under olika alias, inklusive APT43, Black Banshee, Emerald Sleet (tidigare Thallium), Springtail, TA427 och Velvet Chollima. Det tros verka under 63:e forskningscentret, en avdelning av Reconnaissance General Bureau (RGB), Nordkoreas högsta militära underrättelseorganisation.
Enligt en gemensam varning från den amerikanska federala byrån för utredning (FBI) och National Security Agency (NSA) är Kimsukys primära mål att ge stulen data och geopolitiska insikter till den nordkoreanska regimen. De uppnår detta genom att kompromissa med policyanalytiker och experter. Framgångsrika kompromisser gör det möjligt för Kimsuky-skådespelare att utveckla mer övertygande e-postmeddelanden om nätfiske för att rikta in sig på mer värdefulla individer.
Kimsuky har också associerats med kampanjer som involverar en C#-baserad fjärråtkomsttrojan och informationssamlare känd som TutorialRAT. Denna skadliga programvara använder Dropbox som en plattform för att starta attacker, i syfte att undvika hotupptäckt. Denna kampanj, som påminner om APT43:s BabyShark- hotkampanj, använder vanliga spjutfisketekniker, inklusive användning av genvägsfiler (LNK).
