Οι Βορειοκορεάτες χάκερς, με την ονομασία Kimsuky, φαίνονται ύποπτοι ότι εκμεταλλεύτηκαν malware που βασίζεται στην Golang, γνωστό ως Troll Stealer.

Το κακόβουλο λογισμικό κλέβει αρχεία και καταλόγους από μονάδες δίσκου SSH, FileZilla, προγράμματα περιήγησης, πληροφορίες συστήματος και λήψεις οθόνης από μολυσμένα συστήματα, σύμφωνα με μια νέα έκθεση της νοτιοκορεάτικης εταιρείας κυβερνοασφάλειας S2W.

Διαβάστε ακόμη: Οι hackers Kimsuky στοχεύουν ερευνητικά κέντρα για διανομή backdoor

Οι συνδέσεις του Troll Stealer με τους Kimsuky προέρχονται από γνωστές οικογένειες κακόβουλου λογισμικού, όπως το AppleSeed.

Οι Kimsuky, επίσης γνωστοί με τα ονόματα APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (προηγουμένως Thallium), Nickel Kimball και Velvet Chollima, είναι ευρέως γνωστός για την τάση του να κλέβει ευαίσθητες και εμπιστευτικές πληροφορίες από επιθετικές επιχειρήσεις στον κυβερνοχώρο.

Προς το τέλος του Νοεμβρίου του 2023, οι φορείς που αντιπροσωπεύουν μια απειλή επιβλήθηκαν κυρώσεις από το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των Ηνωμένων Πολιτειών (OFAC) για τη συλλογή πληροφοριών που στοχεύουν στην προώθηση των στρατηγικών στόχων της Βόρειας Κορέας.

Διαβάστε περισσότερα: ΗΠΑ: Κυρώσεις στους hackers Kimsuky της Βόρειας Κορέας

Η αντίπαλη ομάδα, τους τελευταίους μήνες, έχει εκτελέσει spear-phishing επιθέσεις που στοχεύουν νοτιοκορεάτικες οντότητες, με σκοπό να εισβάλλει στα συστήματά τους. Σε αυτές τις επιθέσεις χρησιμοποιούνται διάφορα backdoors, όπως τα AppleSeed και AlphaSeed.

Η τελευταία ανάλυση του S2W αποκαλύπτει τη χρήση ενός dropper που μεταμφιέζεται ως αρχείο εγκατάστασης προγράμματος ασφαλείας από μια εταιρεία της Νότιας Κορέας που ονομάζεται SGA Solutions για να ξεκινήσει το stealer, το οποίο πήρε το όνομά του από τη διαδρομή “D:/~/repo/golang/src/root .go/s/troll/agent” που είναι ενσωματωμένο σε αυτό.

«Το dropper εκτελείται ως νόμιμο πρόγραμμα εγκατάστασης μαζί με το κακόβουλο λογισμικό και τόσο το dropper όσο και το κακόβουλο λογισμικό έχουν υπογραφεί με ένα έγκυρο, νόμιμο πιστοποιητικό D2Innovation Co.,LTD», υποδηλώνοντας ότι το πιστοποιητικό της εταιρείας είχε πράγματι κλαπεί» σύμφωνα με την εταιρεία.

Ένα εξαιρετικό χαρακτηριστικό του Troll Stealer είναι η ικανότητά του να κλέβει τον φάκελο GPKI σε μολυσμένα συστήματα, αυξάνοντας την πιθανότητα το κακόβουλο λογισμικό να έχει χρησιμοποιηθεί σε επιθέσεις που στοχεύουν διοικητικούς και δημόσιους φορείς στη χώρα.

Δεδομένης της έλλειψης αποδείξεων για την κλοπή φακέλων GPKI από τον Kimsuky, αυξάνεται η πιθανότητα ότι η νέα συμπεριφορά είναι είτε αλλαγή στρατηγικής είτε απειλή από άλλο παράγοντα που σχετίζεται στενά με την ομάδα που έχει επίσης πρόσβαση στον αρχικό κώδικα του AppleSeed και AlphaSeed.
Υπάρχουν επίσης ενδείξεις ότι ο παράγοντας απειλής μπορεί να συνδέεται με μια κερκόπορτα που βασίζεται στην πλατφόρμα Go με την ονομασία GoBear. Αυτή η κερκόπορτα φέρει ένα νόμιμο πιστοποιητικό, το οποίο σχετίζεται με την εταιρεία D2Innovation Co. LTD, και λαμβάνει εντολές από έναν διακομιστή ελέγχου και εντολών (C2).

Δείτε επίσης: Οι χάκερ Kimsuky υποδύονται τους δημοσιογράφους για να κλέψουν πληροφορίες

Ο S2W δήλωσε ότι κατά την ανάλυση, διαπιστώθηκε ότι οι συμβολοσειρές που περιέχονται στα ονόματα των συναρτήσεων που καλούνται, επικαλύπτονται με τις εντολές που χρησιμοποιούνται από το κακόβουλο λογισμικό backdoor BetaSeed.

Το BetaSeed βασίζεται στη γλώσσα προγραμματισμού C++ και χρησιμοποιείται από την ομάδα Kimsuky. Επιπλέον, σημείωσε ότι το GoBear προσθέτει λειτουργικότητα διακομιστή μεσολάβησης SOCKS5, η οποία δεν υποστηριζόταν προηγουμένως από το κακόβουλο λογισμικό backdoor της συμμορίας Kimsuky.

Πηγή: thehackernews.com