Troll Stealer

據信，與北韓有聯繫的民族國家演員 Kimsuky 部署了一種新發現的資訊竊取惡意軟體，即基於 Golang 程式語言建構的 Troll Stealer。這種威脅軟體旨在從受感染的系統中提取各種類型的敏感數據，包括 SSH 憑證、FileZilla 資訊、C 磁碟機中的檔案和目錄、瀏覽器資料、系統詳細資訊和螢幕截圖等。

Troll Stealer 與 Kimsuky 的聯繫是從其與 AppleSeed 和 AlphaSeed 等知名惡意軟體家族的相似性推斷出來的，這兩個惡意軟體家族先前都與同一威脅組織有關。

Kimsuky 是一個活躍的 APT（高級持續威脅）組織

Kimsuky，也被稱為 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet（以前稱為鉈）、Nickel Kimball 和 Velvet Chollima，因其傾向於參與旨在竊取敏感和機密資訊的攻擊性網路行動而聞名。

2023 年 11 月，美國財政部外國資產管制辦公室 (OFAC) 對這些威脅行為者實施制裁，因為他們在收集情報以推進北韓戰略目標方面發揮了作用。

該敵對組織也與利用 AppleSeed 和 AlphaSeed 等各種後門針對韓國實體的魚叉式網路釣魚攻擊有關。

部署 Troll Stealer 惡意軟體的攻擊行動

網路安全研究人員進行的一項檢查顯示，使用了一個負責部署後續竊取者威脅的植入程序。該植入程式將自己偽裝成一個安全程式的安裝文件，據稱該程式來自一家名為 SGA Solutions 的韓國公司。至於竊取者的名稱，它是基於其中嵌入的路徑“D:/~/repo/golang/src/root.go/s/troll/agent”。

根據資訊安全專家提供的見解，該植入程式作為合法安裝程式與惡意軟體一起運行。該植入程式和惡意軟體都帶有有效的 D2Innovation Co., LTD 證書簽名，表明該公司的證書可能被盜。

Troll Stealer 的一個顯著特徵是它能夠竊取受感染系統上的 GPKI 資料夾，這暗示該惡意軟體可能已被用於針對國內行政和公共組織的攻擊。

金西基可能正在改變他們的戰術並威脅阿森納

鑑於沒有記錄到涉及盜竊 GPKI 資料夾的 Kimsuky 活動，有人猜測觀察到的新行為可能意味著與該組織密切相關的另一個威脅行為者的策略或行動發生了變化，可能擁有對原始程式碼的存取權限AppleSeed 和AlphaSeed。

還有跡象表明，威脅行為者可能參與名為 GoBear 的基於 Go 的後門。此後門使用連結到 D2Innovation Co., LTD 的合法憑證進行簽名，並遵循命令與控制 (C2) 伺服器的指令。

此外，GoBear 程式碼中的函數名稱與 BetaSeed（Kimsuky 組織使用的基於 C++ 的後門惡意軟體）所使用的命令重疊。值得注意的是，GoBear 引入了 SOCKS5 代理功能，該功能以前在與 Kimsuky 組織相關的後門惡意軟體中不存在。