Troll Stealer
Kuzey Kore ile bağlantılı ulus devlet aktörü Kimsuky'nin, Golang programlama dili üzerine kurulu, yeni tanımlanan bilgi hırsızlığı yapan kötü amaçlı yazılım Troll Stealer'ı konuşlandırdığına inanılıyor. Bu tehdit edici yazılım, diğer şeylerin yanı sıra, güvenliği ihlal edilmiş sistemlerden SSH kimlik bilgileri, FileZilla bilgileri, C sürücüsündeki dosyalar ve dizinler, tarayıcı verileri, sistem ayrıntıları ve ekran görüntüleri dahil olmak üzere çeşitli türdeki hassas verileri çıkarmak için tasarlanmıştır.
Troll Stealer'ın Kimsuky ile bağlantısı, her ikisi de daha önce aynı tehdit grubuyla bağlantılı olan AppleSeed ve AlphaSeed gibi tanınmış kötü amaçlı yazılım ailelerine olan benzerliklerinden anlaşılıyor.
İçindekiler
Kimsuky Aktif bir APT (Gelişmiş Kalıcı Tehdit) Grubudur
Alternatif olarak APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (eski adıyla Thallium), Nickel Kimball ve Velvet Chollima olarak tanımlanan Kimsuky, hassas ve gizli bilgileri çalmayı amaçlayan saldırgan siber operasyonlara katılma eğilimiyle ünlüdür.
Kasım 2023'te ABD Hazine Bakanlığı'nın Yabancı Varlıklar Kontrol Ofisi (OFAC), Kuzey Kore'nin stratejik hedeflerini ilerletmek için istihbarat toplamadaki rolleri nedeniyle bu tehdit aktörlerine yaptırımlar uyguladı.
Bu düşman grup aynı zamanda AppleSeed ve AlphaSeed gibi çeşitli arka kapıları kullanarak Güney Koreli kuruluşlara yönelik hedef odaklı kimlik avı saldırılarıyla da ilişkilendirildi.
Trol Hırsızı Kötü Amaçlı Yazılımını Kullanan Saldırı Operasyonu
Siber güvenlik araştırmacıları tarafından yürütülen bir inceleme, sonraki hırsız tehdidini dağıtmakla görevli bir düşürücünün kullanıldığını ortaya çıkardı. Damlalık, kendisini SGA Solutions olarak bilinen Güney Koreli bir firmaya ait olduğu iddia edilen bir güvenlik programının kurulum dosyası olarak gizler. Çalıcının ismine gelince, bu isim onun içine yerleştirilmiş 'D:/~/repo/golang/src/root.go/s/troll/agent' yoluna dayanmaktadır.
Bilgi güvenliği uzmanlarının sağladığı bilgilere göre, dropper, kötü amaçlı yazılımla birlikte yasal bir yükleyici olarak çalışıyor. Hem damlalık hem de kötü amaçlı yazılım, şirketin sertifikasının potansiyel olarak çalındığını gösteren geçerli bir D2Innovation Co., LTD sertifikasının imzasını taşıyor.
Trol Hırsızının dikkate değer bir özelliği, GPKI klasörünü tehlikeye atılmış sistemlerde çalma yeteneğidir; bu, kötü amaçlı yazılımın ülke içindeki idari ve kamu kuruluşlarına yönelik saldırılarda kullanılmış olma ihtimaline işaret etmektedir.
Kimsiky Taktiklerini Geliştirip Arsenal’i Tehdit Ediyor Olabilir
GPKI klasörlerinin çalınmasını içeren belgelenmiş Kimsuky kampanyalarının yokluğu ışığında, gözlemlenen yeni davranışın, taktiklerde bir değişikliğe veya grupla yakından bağlantılı olan ve potansiyel olarak kaynak koduna erişime sahip başka bir tehdit aktörünün eylemlerine işaret edebileceği yönünde spekülasyonlar var. AppleSeed ve AlphaSeed'den.
Göstergeler ayrıca tehdit aktörünün GoBear adlı Go tabanlı bir arka kapıya dahil olma potansiyeline de işaret ediyor. Bu arka kapı, D2Innovation Co., LTD'ye bağlı meşru bir sertifika ile imzalanmıştır ve bir Komuta ve Kontrol (C2) sunucusundan gelen talimatları takip etmektedir.
Ayrıca GoBear'ın kodundaki işlev adları, Kimsuky grubu tarafından kullanılan C++ tabanlı bir arka kapı kötü amaçlı yazılımı olan BetaSeed tarafından kullanılan komutlarla örtüşüyor. GoBear, özellikle Kimsuky grubuyla ilişkili arka kapı kötü amaçlı yazılımlarında daha önce bulunmayan bir özellik olan SOCKS5 proxy işlevini sunuyor.
