దురియన్ మాల్వేర్
Kimsuky ఉత్తర కొరియా ముప్పు సమూహం ఇటీవల రెండు దక్షిణ కొరియా క్రిప్టోకరెన్సీ కంపెనీలను లక్ష్యంగా చేసుకుని నిర్దిష్ట సైబర్ కార్యకలాపాలలో Durian అనే కొత్త Golang-ఆధారిత మాల్వేర్ను ఉపయోగించింది. డ్యూరియన్ అనేది విస్తృతమైన బ్యాక్డోర్ సామర్థ్యాలతో కూడిన అధునాతన మాల్వేర్, ఇది ఆదేశాలను అమలు చేయడానికి, ఫైల్లను డౌన్లోడ్ చేయడానికి మరియు రాజీపడిన సిస్టమ్ల నుండి డేటాను సేకరించడానికి అనుమతిస్తుంది.
విషయ సూచిక
డ్యూరియన్ మాల్వేర్ డెలివరీ కోసం ఇన్ఫెక్షన్ వెక్టర్
ఈ సంఘటనలు ఆగస్ట్ మరియు నవంబర్ 2023లో జరిగాయి మరియు ఇన్ఫెక్షన్ పద్ధతిగా దక్షిణ కొరియాకు మాత్రమే ప్రత్యేకమైన చట్టబద్ధమైన సాఫ్ట్వేర్ను ఉపయోగించుకోవడం జరిగింది. ఈ సాఫ్ట్వేర్ను ఉపయోగించుకోవడానికి ఉపయోగించే నిర్దిష్ట పద్ధతిని పరిశోధకులు ఇంకా పూర్తిగా కనుగొనలేదు.
అర్థం చేసుకున్నది ఏమిటంటే, ఈ సాఫ్ట్వేర్ దాడి చేసేవారి సర్వర్తో కమ్యూనికేషన్ను ఏర్పాటు చేస్తుంది, ఇది ఇన్ఫెక్షన్ ప్రక్రియను ప్రారంభించడానికి సురక్షితం కాని పేలోడ్ను తిరిగి పొందుతుంది. ప్రారంభ దశ తదుపరి మాల్వేర్ కోసం ఇన్స్టాలర్గా పనిచేస్తుంది మరియు ప్రభావిత హోస్ట్పై పట్టుదలను ఏర్పరుస్తుంది. ఇది లోడర్ మాల్వేర్ యొక్క విస్తరణను కూడా సులభతరం చేస్తుంది, అది చివరికి డ్యూరియన్ యొక్క అమలును ప్రేరేపిస్తుంది.
దురియన్తో పాటు దాడి చేసేవారిచే ఉపయోగించబడిన అదనపు మాల్వేర్
దాడి చేసేవారు ngrok మరియు Chrome రిమోట్ డెస్క్టాప్ వంటి చట్టబద్ధమైన సాధనాలతో పాటు, AppleSeed (Kimsuky యొక్క ప్రాధాన్య బ్యాక్డోర్), LazyLoad అనే కస్టమ్ ప్రాక్సీ సాధనంతో సహా అదనపు మాల్వేర్ని అమలు చేయడానికి Durianని ఉపయోగిస్తారు. కుక్కీలు మరియు లాగిన్ ఆధారాలు వంటి బ్రౌజర్-నిల్వ చేసిన డేటాను దొంగిలించడం లక్ష్యం.
దాడిలో ఒక ఆసక్తికరమైన అంశం ఏమిటంటే, L azarus గ్రూప్లోని ఉప సమూహం అయిన Andariel తో గతంలో అనుబంధించబడిన LazyLoad యొక్క వినియోగం. ఈ ముప్పు నటుల మధ్య సంభావ్య సహకారం లేదా వ్యూహాత్మక అమరికను ఇది సూచిస్తుంది.
కిమ్సుకీ సైబర్ క్రైమ్ సీన్లో ప్రధాన ఆటగాడిగా మిగిలిపోయాడు
కిమ్సుకీ గ్రూప్, కనీసం 2012 నుండి క్రియాశీలంగా ఉంది, APT43, బ్లాక్ బాన్షీ, ఎమరాల్డ్ స్లీట్ (గతంలో థాలియం), స్ప్రింగ్టైల్, TA427 మరియు వెల్వెట్ చోల్లిమాతో సహా పలు మారుపేర్లతో కూడా పిలుస్తారు. ఇది ఉత్తర కొరియా యొక్క అత్యున్నత సైనిక గూఢచార సంస్థ అయిన రికనైసెన్స్ జనరల్ బ్యూరో (RGB) యొక్క 63వ పరిశోధనా కేంద్రం క్రింద పనిచేస్తుందని నమ్ముతారు.
US ఫెడరల్ బ్యూరో ఆఫ్ ఇన్వెస్టిగేషన్ (FBI) మరియు నేషనల్ సెక్యూరిటీ ఏజెన్సీ (NSA) సంయుక్త హెచ్చరిక ప్రకారం, ఉత్తర కొరియా పాలనకు దొంగిలించబడిన డేటా మరియు భౌగోళిక రాజకీయ అంతర్దృష్టులను అందించడం కిమ్సుకీ యొక్క ప్రాథమిక లక్ష్యం. విధాన విశ్లేషకులు మరియు నిపుణులతో రాజీ పడడం ద్వారా వారు దీనిని సాధిస్తారు. విజయవంతమైన రాజీలు కిమ్సుకీ నటులు అధిక-విలువైన వ్యక్తులను లక్ష్యంగా చేసుకోవడం కోసం మరింత నమ్మదగిన స్పియర్-ఫిషింగ్ ఇమెయిల్లను అభివృద్ధి చేయడానికి అనుమతిస్తాయి.
C#-ఆధారిత రిమోట్ యాక్సెస్ ట్రోజన్ మరియు ట్యుటోరియల్రాట్ అని పిలువబడే సమాచార కలెక్టర్తో కూడిన ప్రచారాలతో కిమ్సుకీ అనుబంధించబడింది. ఈ మాల్వేర్ ముప్పు గుర్తింపును తప్పించుకునే లక్ష్యంతో దాడులను ప్రారంభించడానికి డ్రాప్బాక్స్ను వేదికగా ఉపయోగిస్తుంది. ఈ ప్రచారం, APT43 యొక్క BabyShark ముప్పు ప్రచారాన్ని గుర్తుకు తెస్తుంది, షార్ట్కట్ (LNK) ఫైల్ల వాడకంతో సహా సాధారణ స్పియర్-ఫిషింగ్ పద్ధతులను ఉపయోగిస్తుంది.