Troll Stealer
Вважається, що національно-державний актор Кімсукі, пов’язаний з Північною Кореєю, розгорнув нещодавно виявлену шкідливу програму для крадіжки інформації Troll Stealer, побудовану на мові програмування Golang. Це загрозливе програмне забезпечення розроблене для отримання різних типів конфіденційних даних, включаючи облікові дані SSH, інформацію FileZilla, файли та каталоги з диска C, дані браузера, відомості про систему та знімки екрана, серед іншого, із скомпрометованих систем.
Зв’язок Troll Stealer з Kimsuky випливає з його схожості з добре відомими сімействами зловмисного програмного забезпечення, такими як AppleSeed і AlphaSeed, обидва раніше пов’язані з однією групою загроз.
Зміст
Kimsuky є активною групою APT (Advanced Persistent Threat).
Kimsuky, альтернативно ідентифікований як APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (раніше Thallium), Nickel Kimball і Velvet Chollima, відомий своєю схильністю брати участь у наступальних кіберопераціях, спрямованих на крадіжку чутливої та конфіденційної інформації.
У листопаді 2023 року Управління з контролю за іноземними активами Міністерства фінансів США (OFAC) наклало санкції на цих загрозливих акторів за їх роль у зборі розвідданих для просування стратегічних цілей Північної Кореї.
Ця ворогуюча група також була пов’язана з фішинговими атаками, спрямованими на південнокорейські організації, використовуючи різні бекдори, зокрема AppleSeed і AlphaSeed.
Операція атаки з розгортанням шкідливого програмного забезпечення Troll Stealer
Експертиза, проведена дослідниками кібербезпеки, виявила використання дроппера, завданням якого є розгортання подальшої загрози крадіжка. Дроппер маскується під інсталяційний файл для програми безпеки, нібито від південнокорейської фірми, відомої як SGA Solutions. Що стосується імені викрадача, воно базується на шляху «D:/~/repo/golang/src/root.go/s/troll/agent», вбудованому в нього.
Відповідно до висновків експертів з інформаційної безпеки, дроппер працює як законний інсталятор у поєднанні зі зловмисним програмним забезпеченням. І дроппер, і зловмисне програмне забезпечення мають підпис дійсного сертифіката D2Innovation Co., LTD, що вказує на потенційну крадіжку сертифіката компанії.
Примітною характеристикою Troll Stealer є його здатність викрадати папку GPKI у скомпрометованих системах, натякаючи на ймовірність того, що зловмисне програмне забезпечення було використано для атак, спрямованих на адміністративні та громадські організації в країні.
Кімсікі, можливо, розвивають свою тактику та загрожують Арсеналу
У світлі відсутності задокументованих кампаній Kimsuky, пов’язаних із крадіжкою папок GPKI, існує припущення, що спостережувана нова поведінка може означати зміну тактики або дії іншого суб’єкта загрози, тісно пов’язаного з групою, який потенційно має доступ до вихідного коду. AppleSeed і AlphaSeed.
Ознаки також вказують на потенційну причетність зловмисника до бекдору GoBear на базі Go. Цей бекдор підписаний законним сертифікатом, пов’язаним з D2Innovation Co., LTD, і виконує вказівки від сервера командування та керування (C2).
Крім того, назви функцій у коді GoBear збігаються з командами, які використовує BetaSeed, бекдор-зловмисне програмне забезпечення на основі C++, яке використовує група Kimsuky. Зокрема, GoBear представляє функцію проксі-сервера SOCKS5, яку раніше не було в бекдорі зловмисного програмного забезпечення, пов’язаного з групою Kimsuky.
