துரியன் மால்வேர்
Kimsuky வட கொரிய அச்சுறுத்தல் குழு சமீபத்தில் இரண்டு தென் கொரிய கிரிப்டோகரன்சி நிறுவனங்களை குறிவைத்து குறிப்பிட்ட சைபர் செயல்பாடுகளில் Durian என்ற புதிய Golang-அடிப்படையிலான தீம்பொருளைப் பயன்படுத்தியது. துரியன் என்பது விரிவான பின்கதவு திறன்களைக் கொண்ட மேம்பட்ட தீம்பொருளாகும், இது கட்டளைகளை இயக்கவும், கோப்புகளைப் பதிவிறக்கவும் மற்றும் சமரசம் செய்யப்பட்ட அமைப்புகளிலிருந்து தரவை அறுவடை செய்யவும் அனுமதிக்கிறது.
பொருளடக்கம்
துரியன் மால்வேர் டெலிவரிக்கான தொற்று திசையன்
இந்த சம்பவங்கள் ஆகஸ்ட் மற்றும் நவம்பர் 2023 இல் நடந்தன, மேலும் தென் கொரிய மொழிக்கு பிரத்தியேகமான முறையான மென்பொருளை நோய்த்தொற்றுக்கான வழிமுறையாகப் பயன்படுத்தியது. இந்த மென்பொருளை பயன்படுத்த குறிப்பிட்ட முறை இன்னும் ஆராய்ச்சியாளர்களால் முழுமையாக கண்டறியப்படவில்லை.
புரிந்து கொள்ளப்பட்ட விஷயம் என்னவென்றால், இந்த மென்பொருள் தாக்குபவர்களின் சேவையகத்துடன் தொடர்பை ஏற்படுத்துகிறது, இது தொற்று செயல்முறையைத் தொடங்க பாதுகாப்பற்ற பேலோடை மீட்டெடுக்கிறது. ஆரம்ப நிலை மேலும் தீம்பொருளுக்கான நிறுவியாக செயல்படுகிறது மற்றும் பாதிக்கப்பட்ட ஹோஸ்டில் நிலைத்தன்மையை நிறுவுகிறது. இது ஒரு ஏற்றி தீம்பொருளின் வரிசைப்படுத்தலை எளிதாக்குகிறது, இது இறுதியில் துரியனின் செயல்பாட்டைத் தூண்டுகிறது.
துரியனுடன் சேர்ந்து தாக்குபவர்களால் பயன்படுத்தப்படும் கூடுதல் மால்வேர்
ngrok மற்றும் Chrome ரிமோட் டெஸ்க்டாப் போன்ற முறையான கருவிகளுடன், LazyLoad என்ற தனிப்பயன் ப்ராக்ஸி கருவியான AppleSeed (Kimsuky இன் விருப்பமான பின்கதவு) உள்ளிட்ட கூடுதல் தீம்பொருளை வரிசைப்படுத்த, தாக்குபவர்கள் Durian ஐப் பயன்படுத்துகின்றனர். குக்கீகள் மற்றும் உள்நுழைவுச் சான்றுகள் போன்ற உலாவியில் சேமிக்கப்பட்ட தரவைத் திருடுவதே இதன் நோக்கமாகும்.
தாக்குதலின் ஒரு சுவாரசியமான அம்சம் என்னவென்றால், L azarus குழுவில் உள்ள துணைக் குழுவான Andariel உடன் முன்னர் தொடர்புடைய LazyLoad ஐப் பயன்படுத்துவதாகும். இந்த அச்சுறுத்தல் நடிகர்களுக்கு இடையே சாத்தியமான ஒத்துழைப்பு அல்லது தந்திரோபாய சீரமைப்பை இது பரிந்துரைக்கிறது.
சைபர் கிரைம் காட்சியில் கிம்சுகி ஒரு முக்கிய வீரராக இருக்கிறார்
கிம்சுகி குழு, குறைந்தது 2012 முதல் செயலில் உள்ளது, APT43, பிளாக் பன்ஷீ, எமரால்டு ஸ்லீட் (முன்னர் தாலியம்), ஸ்பிரிங்டெயில், TA427 மற்றும் வெல்வெட் சோலிமா உள்ளிட்ட பல்வேறு மாற்றுப்பெயர்களால் அறியப்படுகிறது. இது வட கொரியாவின் உயர்மட்ட இராணுவ புலனாய்வு அமைப்பான Reconnaissance General Bureau (RGB) பிரிவின் 63வது ஆராய்ச்சி மையத்தின் கீழ் செயல்படும் என நம்பப்படுகிறது.
US Federal Bureau of Investigation (FBI) மற்றும் National Security Agency (NSA) ஆகியவற்றின் கூட்டு எச்சரிக்கையின்படி, வட கொரிய ஆட்சிக்கு திருடப்பட்ட தரவு மற்றும் புவிசார் அரசியல் நுண்ணறிவுகளை வழங்குவதே கிம்சுகியின் முதன்மையான குறிக்கோள் ஆகும். கொள்கை ஆய்வாளர்கள் மற்றும் நிபுணர்களை சமரசம் செய்வதன் மூலம் அவர்கள் இதை அடைகிறார்கள். வெற்றிகரமான சமரசங்கள் கிம்சுகி நடிகர்கள் அதிக மதிப்புள்ள நபர்களை குறிவைக்க மிகவும் உறுதியான ஈட்டி-ஃபிஷிங் மின்னஞ்சல்களை உருவாக்க அனுமதிக்கின்றன.
C#-அடிப்படையிலான தொலைநிலை அணுகல் ட்ரோஜன் மற்றும் டுடோரியல்ராட் எனப்படும் தகவல் சேகரிப்பான் ஆகியவற்றை உள்ளடக்கிய பிரச்சாரங்களுடனும் கிம்சுகி தொடர்புபடுத்தப்பட்டுள்ளது. இந்த தீம்பொருள் டிராப்பாக்ஸை தாக்குதல்களைத் தொடங்க ஒரு தளமாகப் பயன்படுத்துகிறது, இது அச்சுறுத்தலைக் கண்டறிவதைத் தவிர்ப்பதை நோக்கமாகக் கொண்டுள்ளது. இந்த பிரச்சாரம், APT43 இன் BabyShark அச்சுறுத்தல் பிரச்சாரத்தை நினைவூட்டுகிறது, குறுக்குவழி (LNK) கோப்புகளின் பயன்பாடு உட்பட பொதுவான ஈட்டி-ஃபிஷிங் நுட்பங்களைப் பயன்படுத்துகிறது.
