Kimsuky olarak bilinen Kuzey Kore bağlantılı ulus devlet aktörünün, daha önce belgelenmemiş Golang tabanlı bir bilgi hırsızı kullandığından şüpheleniliyor. Trol Hırsızı.
Kötü amaçlı yazılım “SSH, FileZilla, C sürücüsü dosyalarını/dizinlerini, tarayıcılarını, sistem bilgilerini, [and] Güney Koreli siber güvenlik şirketi S2W yeni bir teknik raporda virüslü sistemlerden ekran görüntülerinin alındığını söyledi.
Troll Stealer’ın Kimsuky ile olan bağlantıları, gruba atfedilen AppleSeed ve AlphaSeed kötü amaçlı yazılımları gibi bilinen kötü amaçlı yazılım aileleriyle olan benzerliklerinden kaynaklanmaktadır.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), Nickel Kimball ve Velvet Chollima isimleri altında da takip edilen Kimsuky, saldırgan siber operasyonlarda hassas, gizli bilgileri çalma eğilimiyle tanınıyor.
Kasım 2023’ün sonlarında, tehdit aktörlerine, Kuzey Kore’nin stratejik hedeflerini ilerletmeye yönelik istihbarat toplamaları nedeniyle ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından yaptırım uygulandı.
Düşman kolektifin son aylarda, AppleSeed ve AlphaSeed de dahil olmak üzere çeşitli arka kapılar sunmak için Güney Koreli varlıkları hedef alan hedef odaklı kimlik avı saldırıları gerçekleştirdiği iddia edildi.
S2W’nin son analizi, adını “D:/~/repo/golang/src/root” yolundan alan hırsızı başlatmak için SGA Solutions adlı Güney Koreli bir şirkete ait bir güvenlik programı kurulum dosyası gibi görünen bir damlalığın kullanıldığını ortaya koyuyor .go/s/troll/agent” içine gömülüdür.
Şirket, “Damlalık, kötü amaçlı yazılımın yanında meşru bir yükleyici olarak çalışıyor ve hem damlalık hem de kötü amaçlı yazılım, geçerli, yasal bir D2Innovation Co.,LTD sertifikasıyla imzalanmış, bu da şirketin sertifikasının gerçekten çalındığını gösteriyor” dedi.
Troll Stealer’ın öne çıkan özelliği, virüs bulaşmış sistemlerdeki GPKI klasörünü çalma yeteneğidir; bu da kötü amaçlı yazılımın ülkedeki idari ve kamu kuruluşlarını hedef alan saldırılarda kullanılma olasılığını artırır.
GPKI klasörlerinin çalınmasını belgeleyen Kimsuky kampanyalarının yokluğu göz önüne alındığında, yeni davranışın ya taktiksel bir değişiklik ya da AppleSeed’in kaynak koduna erişimi olan grupla yakından ilişkili başka bir tehdit aktörünün işi olduğu ihtimali ortaya çıktı. ve AlphaSeed.
Ayrıca tehdit aktörünün, D2Innovation Co., LTD ile ilişkili meşru bir sertifikayla imzalanmış olan ve bir komuta ve kontrol (C2) sunucusundan alınan talimatları yürüten GoBear kod adlı Go tabanlı bir arka kapıya karışmış olabileceğine dair işaretler de mevcut.
S2W, “Çağırdığı işlevlerin adlarında bulunan dizelerin, Kimsuky grubu tarafından kullanılan C++ tabanlı bir arka kapı kötü amaçlı yazılımı olan BetaSeed tarafından kullanılan komutlarla örtüştüğü tespit edildi” dedi. “GoBear’ın, daha önce Kimsuky grubunun arka kapı kötü amaçlı yazılımı tarafından desteklenmeyen SOCKS5 proxy işlevini eklemesi dikkat çekicidir.”