มัลแวร์ทุเรียน

กลุ่มภัยคุกคาม Kimsuky North Korean เพิ่งใช้มัลแวร์ที่ทำงานบน Golang ชื่อ Durian ในการปฏิบัติการทางไซเบอร์โดยเฉพาะโดยกำหนดเป้าหมายไปที่บริษัท cryptocurrency ของเกาหลีใต้สองแห่ง Durian เป็นมัลแวร์ขั้นสูงที่มีความสามารถแบ็คดอร์ที่กว้างขวาง ช่วยให้สามารถรันคำสั่ง ดาวน์โหลดไฟล์ และเก็บเกี่ยวข้อมูลจากระบบที่ถูกบุกรุก

การติดเชื้อเวคเตอร์สำหรับการส่งมัลแวร์ทุเรียน

เหตุการณ์ดังกล่าวเกิดขึ้นในเดือนสิงหาคมและพฤศจิกายน พ.ศ. 2566 และเกี่ยวข้องกับการใช้ประโยชน์จากซอฟต์แวร์ที่ถูกกฎหมายซึ่งเป็นวิธีการติดไวรัสเฉพาะสำหรับชาวเกาหลีใต้ นักวิจัยยังไม่ค้นพบวิธีการเฉพาะที่ใช้ในการใช้ประโยชน์จากซอฟต์แวร์นี้

สิ่งที่เข้าใจก็คือซอฟต์แวร์นี้สร้างการสื่อสารกับเซิร์ฟเวอร์ของผู้โจมตี ซึ่งจะดึงข้อมูลเพย์โหลดที่ไม่ปลอดภัยเพื่อเริ่มกระบวนการติดไวรัส ระยะเริ่มแรกจะทำหน้าที่เป็นตัวติดตั้งสำหรับมัลแวร์เพิ่มเติม และสร้างความคงอยู่บนโฮสต์ที่ได้รับผลกระทบ นอกจากนี้ยังอำนวยความสะดวกในการใช้งานมัลแวร์โหลดเดอร์ที่กระตุ้นให้เกิดการประหารชีวิตทุเรียนในท้ายที่สุด

มัลแวร์เพิ่มเติมที่ผู้โจมตีใช้ควบคู่ไปกับทุเรียน

ผู้โจมตีใช้ Durian เพื่อปรับใช้มัลแวร์เพิ่มเติม รวมถึง AppleSeed (ประตูหลังที่ Kimsuky ต้องการ) เครื่องมือพร็อกซีแบบกำหนดเองชื่อ LazyLoad พร้อมด้วยเครื่องมือที่ถูกกฎหมาย เช่น ngrok และ Chrome Remote Desktop วัตถุประสงค์คือการขโมยข้อมูลที่จัดเก็บโดยเบราว์เซอร์ เช่น คุกกี้และข้อมูลรับรองการเข้าสู่ระบบ

จุดที่น่าสนใจในการโจมตีคือการใช้ LazyLoad ซึ่งก่อนหน้านี้เกี่ยวข้องกับ Andariel ซึ่งเป็นกลุ่มย่อยภายใน L azarus Group สิ่งนี้บ่งบอกถึงความร่วมมือที่เป็นไปได้หรือการจัดตำแหน่งทางยุทธวิธีระหว่างผู้คุกคามเหล่านี้

Kimsuky ยังคงเป็นผู้เล่นหลักในฉากอาชญากรรมไซเบอร์

Kimsuky group ซึ่งก่อตั้งมาอย่างน้อยปี 2012 เป็นที่รู้จักในนามแฝงต่างๆ เช่น APT43, Black Banshee, Emerald Sleet (เดิมชื่อ Thallium), Springtail, TA427 และ Velvet Chollima เชื่อกันว่าปฏิบัติการภายใต้ศูนย์วิจัยที่ 63 ซึ่งเป็นแผนกหนึ่งของสำนักงานข่าวกรองทั่วไป (RGB) ซึ่งเป็นองค์กรข่าวกรองทางทหารชั้นนำของเกาหลีเหนือ

ตามการแจ้งเตือนร่วมกันโดยสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และสำนักงานความมั่นคงแห่งชาติ (NSA) เป้าหมายหลักของคิมซูกีคือการให้ข้อมูลที่ถูกขโมยและข้อมูลเชิงลึกทางการเมืองแก่ระบอบการปกครองของเกาหลีเหนือ พวกเขาบรรลุเป้าหมายนี้ด้วยการประนีประนอมกับนักวิเคราะห์นโยบายและผู้เชี่ยวชาญ การประนีประนอมที่ประสบความสำเร็จช่วยให้นักแสดง Kimsuky พัฒนาอีเมลฟิชชิ่งที่น่าเชื่อมากขึ้นสำหรับการกำหนดเป้าหมายบุคคลที่มีมูลค่าสูงกว่า

Kimsuky ยังเกี่ยวข้องกับแคมเปญที่เกี่ยวข้องกับโทรจันการเข้าถึงระยะไกลที่ใช้ C# และผู้รวบรวมข้อมูลที่เรียกว่า TutorialRAT มัลแวร์นี้ใช้ Dropbox เป็นแพลตฟอร์มในการโจมตีโดยมีเป้าหมายเพื่อหลบเลี่ยงการตรวจจับภัยคุกคาม แคมเปญนี้ชวนให้นึกถึงแคมเปญภัยคุกคาม BabyShark ของ APT43 ใช้เทคนิคฟิชชิ่งแบบหอกทั่วไป รวมถึงการใช้ไฟล์ทางลัด (LNK)