Durian Malware
Ang Kimsuky North Korean threat group ay gumamit kamakailan ng bagong Golang-based na malware na pinangalanang Durian sa mga partikular na cyber operations na nagta-target sa dalawang South Korean cryptocurrency company. Ang Durian ay isang advanced na malware na may malawak na backdoor na kakayahan, na nagbibigay-daan dito na magsagawa ng mga command, mag-download ng mga file, at mag-harvest ng data mula sa mga nakompromisong system.
Talaan ng mga Nilalaman
Infection Vector para sa Paghahatid ng Durian Malware
Ang mga insidente ay naganap noong Agosto at Nobyembre 2023 at nagsasangkot ng pagsasamantala sa lehitimong software na eksklusibo sa South Korean bilang isang paraan ng impeksyon. Ang partikular na paraan na ginamit upang pagsamantalahan ang software na ito ay hindi pa ganap na natuklasan ng mga mananaliksik.
Ang nauunawaan ay ang software na ito ay nagtatatag ng komunikasyon sa server ng umaatake, na pagkatapos ay kumukuha ng hindi ligtas na kargamento upang simulan ang proseso ng impeksyon. Ang paunang yugto ay gumaganap bilang isang installer para sa karagdagang malware at nagtatatag ng pagtitiyaga sa apektadong host. Pinapadali din nito ang pag-deploy ng loader malware na sa huli ay nag-trigger sa pagpapatupad ng Durian.
Karagdagang Malware na Ginagamit ng mga Attacker Kasama ng Durian
Ginagamit ng mga umaatake ang Durian upang mag-deploy ng karagdagang malware, kabilang ang AppleSeed (ginustong backdoor ng Kimsuky), isang custom na proxy tool na pinangalanang LazyLoad, kasama ang mga lehitimong tool gaya ng ngrok at Chrome Remote Desktop. Ang layunin ay magnakaw ng data na nakaimbak ng browser tulad ng cookies at mga kredensyal sa pag-log in.
Ang isang kawili-wiling punto sa pag-atake ay ang paggamit ng LazyLoad, na dating nauugnay sa Andariel , isang sub-group sa loob ng L azarus Group . Nagmumungkahi ito ng potensyal na pakikipagtulungan o taktikal na pagkakahanay sa pagitan ng mga banta na aktor na ito.
Nananatiling Major Player si Kimsuky sa Cybercrime Scene
Ang grupong Kimsuky, na aktibo mula pa noong 2012, ay kilala rin sa iba't ibang alyas, kabilang ang APT43, Black Banshee, Emerald Sleet (dating Thallium), Springtail, TA427, at Velvet Chollima. Ito ay pinaniniwalaang nagpapatakbo sa ilalim ng 63rd Research Center, isang dibisyon ng Reconnaissance General Bureau (RGB), ang nangungunang organisasyong paniktik ng militar ng Hilagang Korea.
Ayon sa magkasanib na alerto ng US Federal Bureau of Investigation (FBI) at ng National Security Agency (NSA), ang pangunahing layunin ni Kimsuky ay magbigay ng ninakaw na data at geopolitical insight sa rehimeng North Korea. Nakakamit nila ito sa pamamagitan ng pagkompromiso sa mga policy analyst at eksperto. Ang mga matagumpay na kompromiso ay nagbibigay-daan sa mga aktor ng Kimsuky na bumuo ng mas nakakumbinsi na spear-phishing na mga email para sa pag-target ng mga indibidwal na mas mataas ang halaga.
Naiugnay din ang Kimsuky sa mga kampanyang kinasasangkutan ng C#-based remote access Trojan at information collector na kilala bilang TutorialRAT. Ginagamit ng malware na ito ang Dropbox bilang isang platform upang maglunsad ng mga pag-atake, na naglalayong iwasan ang pagtuklas ng pagbabanta. Ang kampanyang ito, na nagpapaalala sa kampanya ng pagbabanta ng BabyShark ng APT43, ay gumagamit ng mga karaniwang pamamaraan ng spear-phishing, kabilang ang paggamit ng mga shortcut (LNK) na file.
