榴蓮惡意軟體

Kimsuky 北韓威脅組織最近在針對兩家韓國加密貨幣公司的特定網路行動中使用了一種名為 Durian 的新的基於 Golang 的惡意軟體。 Durian 是一種高級惡意軟體，具有廣泛的後門功能，使其能夠執行命令、下載檔案並從受感染的系統中獲取資料。

榴槤惡意軟體傳播的感染媒介

這些事件發生在 2023 年 8 月和 2023 年 11 月，涉及利用韓國獨有的合法軟體作為感染方法。研究人員尚未完全揭示用於利用該軟體的具體方法。

據了解，該軟體與攻擊者的伺服器建立通信，然後檢索不安全的有效負載以啟動感染過程。初始階段充當其他惡意軟體的安裝程序，並在受影響的主機上建立持久性。它還有助於部署載入程式惡意軟體，最終觸發 Durian 的執行。

除了榴槤之外，攻擊者還使用了其他惡意軟體

攻擊者使用 Durian 部署其他惡意軟體，包括 AppleSeed（Kimsuky 的首選後門）、名為 LazyLoad 的自訂代理程式工具，以及 ngrok 和 Chrome Remote Desktop 等合法工具。其目的是竊取瀏覽器儲存的數據，例如 cookie 和登入憑證。

攻擊中一個有趣的點是對 LazyLoad 的利用，該負載先前與 L azarus Group內的一個子組織Andariel相關。這表明這些威脅行為者之間存在潛在的合作或戰術聯盟。

Kimsuky 仍然是網路犯罪現場的主要參與者

Kimsuky 組織至少從 2012 年開始活躍，也以各種別名而聞名，包括 APT43、Black Banshee、Emerald Sleet（以前稱為鉈）、Springtail、TA427 和 Velvet Chollima。據信該中心在第 63 研究中心下運作，該中心是北韓最高軍事情報機構偵察總局 (RGB) 的一個部門。

根據美國聯邦調查局（FBI）和國家安全局（NSA）的聯合警報，Kimsuky 的主要目標是向北韓政權提供被盜數據和地緣政治見解。他們透過妥協政策分析師和專家來實現這一目標。成功的妥協使 Kimsuky 攻擊者能夠開發出更具說服力的魚叉式網路釣魚電子郵件，以針對更高價值的個人。

Kimsuky 也參與了涉及名為TutorialRAT 的基於C# 的遠端存取木馬和資訊收集器的活動。該惡意軟體利用 Dropbox 作為發動攻擊的平台，旨在逃避威脅偵測。此活動讓人想起 APT43 的BabyShark威脅活動，採用常見的魚叉式網路釣魚技術，包括使用捷徑 (LNK) 檔案。