Troll Stealer Malware-trussel retter sig mod koreanske computerbrugere
En nyligt opdaget cybertrussel har sat koreanske computerbrugere i fare, da en sofistikeret malware kaldet "Troll Stealer" er dukket op, der mistænkes for at være orkestreret af den nordkoreanske forbundne nationalstatsaktør, Kimsuky. Denne malware, der er lavet ved hjælp af Golang, et programmeringssprog, er designet til snigende at udtrække følsomme oplysninger fra inficerede systemer. Det sydkoreanske cybersikkerhedsfirma S2W har afsløret modus operandi af Troll Stealer, som omfatter tyveri af SSH, FileZilla, C-drevfiler/mapper, browserdata, systemoplysninger og endda skærmbilleder.
Table of Contents
Skjul dataudtræk
Forbindelser mellem Troll Stealer og Kimsuky er trukket fra dens lighed med kendte malware-stammer som AppleSeed og AlphaSeed, som tidligere blev tilskrevet denne modstandsgruppe. Kimsuky, også identificeret under forskellige aliaser såsom APT43 og ARCHIPELAGO, er berygtet for sine cyberspionageaktiviteter, ofte rettet mod at erhverve fortrolige data for at fremme Nordkoreas strategiske interesser.
Strategisk spionage
Alvoren af truslen fra Kimsuky blev understreget, da det amerikanske finansministeriums kontor for udenrigskontrol (OFAC) i slutningen af november 2023 sanktionerede gruppen for dens efterretningsindsamling. I de seneste måneder har Kimsuky brugt spear-phishing-taktik til at infiltrere sydkoreanske mål og distribuere en række bagdøre, inklusive AppleSeed og AlphaSeed.
S2W's analyse fremhæver Troll Stealers infiltrationsmetode, som involverer en forklædt dropper, der maskerer sig som en sikkerhedsprograminstallationsfil fra et sydkoreansk firma ved navn SGA Solutions. Spændende nok bærer både dropperen og malwaren signaturen af et legitimt certifikat tilhørende D2Innovation Co., LTD, der antyder potentielt certifikattyveri.
Regeringens målretning
Et særligt bekymrende aspekt ved Troll Stealer er dets evne til at plyndre mappen GPKI (Government Public Key Infrastructure) fra inficerede systemer, hvilket indikerer en mulig målretning mod administrative og offentlige organisationer i Korea. Denne adfærd afviger fra tidligere Kimsuky-kampagner, hvilket fører til spekulationer om taktiske skift eller involvering af andre trusselsaktører med adgang til AppleSeed og AlphaSeed kildekode.
Ydermere tyder indikationer på Kimsukys potentielle involvering med en anden malware, GoBear, som deler ligheder med BetaSeed, en tidligere brugt bagdør. Især introducerer GoBear SOCKS5 proxy-funktionalitet, en afvigelse fra Kimsukys sædvanlige modus operandi.
Fremkomsten af Troll Stealer understreger den vedvarende trussel, som Kimsuky udgør mod den koreanske cybersikkerhed. I takt med at cybertrusler fortsætter med at udvikle sig, er årvågenhed og robuste cybersikkerhedsforanstaltninger fortsat afgørende for at beskytte følsomme oplysninger og beskytte mod ondsindede aktører som Kimsuky.
