Phần mềm độc hại sầu riêng

Nhóm đe dọa Kimsuky của Triều Tiên gần đây đã sử dụng một phần mềm độc hại mới dựa trên Golang có tên Durian trong các hoạt động mạng cụ thể nhắm vào hai công ty tiền điện tử của Hàn Quốc. Durian là một phần mềm độc hại tiên tiến có khả năng mở rộng cửa sau, cho phép nó thực thi lệnh, tải xuống tệp và thu thập dữ liệu từ các hệ thống bị xâm nhập.

Vector lây nhiễm để phát tán phần mềm độc hại sầu riêng

Các sự cố xảy ra vào tháng 8 và tháng 11 năm 2023 và liên quan đến việc khai thác phần mềm hợp pháp dành riêng cho Hàn Quốc như một phương thức lây nhiễm. Phương pháp cụ thể được sử dụng để khai thác phần mềm này vẫn chưa được các nhà nghiên cứu khám phá đầy đủ.

Điều được hiểu là phần mềm này thiết lập liên lạc với máy chủ của kẻ tấn công, sau đó máy chủ này sẽ truy xuất tải trọng không an toàn để bắt đầu quá trình lây nhiễm. Giai đoạn đầu hoạt động như một trình cài đặt cho phần mềm độc hại tiếp theo và thiết lập sự tồn tại trên máy chủ bị ảnh hưởng. Nó cũng tạo điều kiện thuận lợi cho việc triển khai phần mềm độc hại tải mà cuối cùng kích hoạt việc thực thi Durian.

Phần mềm độc hại bổ sung được kẻ tấn công sử dụng cùng với sầu riêng

Những kẻ tấn công sử dụng Durian để triển khai phần mềm độc hại bổ sung, bao gồm AppleSeed (cửa sau ưa thích của Kimsuky), một công cụ proxy tùy chỉnh có tên LazyLoad, cùng với các công cụ hợp pháp như ngrok và Chrome Remote Desktop. Mục tiêu là đánh cắp dữ liệu được lưu trữ trên trình duyệt như cookie và thông tin đăng nhập.

Một điểm thú vị trong cuộc tấn công là việc sử dụng LazyLoad, trước đây được liên kết với Andariel , một nhóm con trong Tập đoàn L azarus . Điều này cho thấy sự hợp tác tiềm năng hoặc sự liên kết chiến thuật giữa các tác nhân đe dọa này.

Kimsuky vẫn là nhân tố chính trong bối cảnh tội phạm mạng

Nhóm Kimsuky, hoạt động ít nhất từ năm 2012, còn được biết đến với nhiều bí danh khác nhau, bao gồm APT43, Black Banshee, Emerald Sleet (trước đây là Thallium), Springtail, TA427 và Velvet Chollima. Nó được cho là hoạt động dưới sự chỉ đạo của Trung tâm Nghiên cứu số 63, một bộ phận của Tổng cục Trinh sát (RGB), tổ chức tình báo quân sự hàng đầu của Triều Tiên.

Theo cảnh báo chung của Cục Điều tra Liên bang Hoa Kỳ (FBI) và Cơ quan An ninh Quốc gia (NSA), mục tiêu chính của Kimsuky là cung cấp dữ liệu bị đánh cắp và thông tin chi tiết về địa chính trị cho chế độ Triều Tiên. Họ đạt được điều này bằng cách thỏa hiệp với các nhà phân tích và chuyên gia chính sách. Sự thỏa hiệp thành công cho phép các hacker Kimsuky phát triển các email lừa đảo trực tuyến thuyết phục hơn để nhắm mục tiêu vào các cá nhân có giá trị cao hơn.

Kimsuky cũng có liên quan đến các chiến dịch liên quan đến Trojan truy cập từ xa dựa trên C# và trình thu thập thông tin được gọi là TutorialRAT. Phần mềm độc hại này sử dụng Dropbox làm nền tảng để khởi động các cuộc tấn công nhằm trốn tránh việc phát hiện mối đe dọa. Chiến dịch này, gợi nhớ đến chiến dịch đe dọa BabyShark của APT43, sử dụng các kỹ thuật lừa đảo phổ biến, bao gồm cả việc sử dụng các tệp lối tắt (LNK).