Шкідливе програмне забезпечення Durian
Північнокорейська група загроз Kimsuky нещодавно використала нову зловмисну програму Durian на базі Golang у конкретних кіберопераціях, націлених на дві південнокорейські криптовалютні компанії. Durian — це розширене зловмисне програмне забезпечення з широкими можливостями бекдору, що дозволяє виконувати команди, завантажувати файли та збирати дані з скомпрометованих систем.
Зміст
Вектор зараження для доставки шкідливого ПЗ Durian
Інциденти відбулися в серпні та листопаді 2023 року та стосувалися використання законного програмного забезпечення, яке є ексклюзивним для Південної Кореї, як метод зараження. Конкретний метод, який використовується для використання цього програмного забезпечення, дослідники ще не повністю розкрили.
Зрозуміло, що це програмне забезпечення встановлює зв’язок із сервером зловмисника, який потім отримує небезпечне корисне навантаження, щоб ініціювати процес зараження. Початковий етап діє як інсталятор для подальшого зловмисного програмного забезпечення та встановлює постійність на ураженому хості. Це також полегшує розгортання шкідливого програмного забезпечення-завантажувача, яке зрештою запускає виконання Durian.
Додаткове шкідливе програмне забезпечення, яке використовується зловмисниками разом із Durian
Зловмисники використовують Durian для розгортання додаткових зловмисних програм, включаючи AppleSeed (переважний бекдор Kimsuky), спеціальний проксі-інструмент під назвою LazyLoad, а також законні інструменти, такі як ngrok і Chrome Remote Desktop. Мета полягала в тому, щоб викрасти дані, що зберігаються в браузері, як-от файли cookie та облікові дані для входу.
Цікавим моментом атаки є використання LazyLoad, раніше пов’язаного з Andariel , підгрупою в L azarus Group . Це свідчить про потенційну співпрацю чи тактичне узгодження між цими суб’єктами загрози.
Кімсукі залишається головним гравцем на сцені кіберзлочинності
Група Kimsuky, яка діє принаймні з 2012 року, також відома під різними псевдонімами, зокрема APT43, Black Banshee, Emerald Sleet (раніше Thallium), Springtail, TA427 і Velvet Chollima. Вважається, що він працює під керівництвом 63-го дослідницького центру, підрозділу Головного розвідувального бюро (RGB), головної військової розвідувальної організації Північної Кореї.
Згідно зі спільним попередженням Федерального бюро розслідувань США (ФБР) і Агентства національної безпеки (АНБ), головною метою Кімсукі є надання викрадених даних і геополітичної інформації режиму Північної Кореї. Вони досягають цього, компрометуючи політиків та експертів. Успішні компроміси дозволяють акторам Kimsuky розробляти переконливіші фішингові електронні листи для цільових людей.
Kimsuky також був пов’язаний з кампаніями, пов’язаними з трояном віддаленого доступу на основі C# та збирачем інформації, відомим як TutorialRAT. Це шкідливе програмне забезпечення використовує Dropbox як платформу для запуску атак, щоб уникнути виявлення загроз. Ця кампанія, що нагадує кампанію загроз BabyShark від APT43, використовує загальні методи фішингу, включаючи використання файлів ярликів (LNK).
