Durian 恶意软件

朝鲜威胁组织 Kimsuky 最近在针对两家韩国加密货币公司的特定网络行动中使用了一种名为 Durian 的基于 Golang 的新型恶意软件。Durian 是一种具有广泛后门功能的高级恶意软件，可让其执行命令、下载文件并从受感染的系统中收集数据。

Durian 恶意软件的传播感染媒介

事件发生于 2023 年 8 月和 11 月，感染方式是利用韩国独有的合法软件。研究人员尚未完全发现利用该软件的具体方法。

据了解，该软件会与攻击者的服务器建立通信，然后服务器会检索不安全的有效负载以启动感染过程。初始阶段充当进一步恶意软件的安装程序，并在受影响的主机上建立持久性。它还有助于部署最终触发 Durian 执行的加载器恶意软件。

攻击者除 Durian 外还使用其他恶意软件

攻击者使用 Durian 部署其他恶意软件，包括 AppleSeed（Kimsuky 首选的后门）、名为 LazyLoad 的自定义代理工具以及 ngrok 和 Chrome 远程桌面等合法工具。其目的是窃取浏览器存储的数据，如 cookie 和登录凭据。

此次攻击中一个有趣的点是使用了 LazyLoad，该工具之前与Lazarus Group的一个分支Andariel有关。这表明这些威胁行为者之间存在潜在的合作或战术配合。

Kimsuky 仍然是网络犯罪领域的主力军

Kimsuky 组织自 2012 年以来一直活跃，还以各种别名而闻名，包括 APT43、Black Banshee、Emerald Sleet（以前称为 Thallium）、Springtail、TA427 和 Velvet Chollima。据信该组织隶属于第 63 研究中心，该研究中心是朝鲜最高军事情报机构侦察总局 (RGB) 的一个部门。

根据美国联邦调查局 (FBI) 和国家安全局 (NSA) 的联合警报，Kimsuky 的主要目标是向朝鲜政权提供窃取的数据和地缘政治见解。他们通过攻击政策分析师和专家来实现这一目标。成功的攻击使 Kimsuky 参与者能够开发更具说服力的鱼叉式网络钓鱼电子邮件，以针对更高价值的个人。

Kimsuky 还参与了涉及基于 C# 的远程访问木马和信息收集器 TutorialRAT 的活动。该恶意软件使用 Dropbox 作为发起攻击的平台，旨在逃避威胁检测。该活动让人想起 APT43 的BabyShark威胁活动，采用了常见的鱼叉式网络钓鱼技术，包括使用快捷方式 (LNK) 文件。