Troll-Stealer-Malware-Bedrohung zielt auf koreanische Computerbenutzer ab
Eine kürzlich entdeckte Cyber-Bedrohung hat koreanische Computerbenutzer gefährdet, da eine hochentwickelte Malware namens „Troll Stealer“ aufgetaucht ist, die vermutlich von dem mit Nordkorea verbundenen nationalstaatlichen Akteur Kimsuky inszeniert wurde. Diese mithilfe der Programmiersprache Golang erstellte Malware soll heimlich vertrauliche Informationen aus infizierten Systemen extrahieren. Das südkoreanische Cybersicherheitsunternehmen S2W hat die Vorgehensweise von Troll Stealer enthüllt, die den Diebstahl von SSH, FileZilla, Dateien/Verzeichnissen des Laufwerks C, Browserdaten, Systeminformationen und sogar Bildschirmaufnahmen umfasst.
Table of Contents
Heimliche Datenextraktion
Verbindungen zwischen Troll Stealer und Kimsuky ergeben sich aus der Ähnlichkeit mit bekannten Malware-Stämmen wie AppleSeed und AlphaSeed, die zuvor dieser gegnerischen Gruppe zugeordnet wurden. Kimsuky, auch unter verschiedenen Decknamen wie APT43 und ARCHIPELAGO bekannt, ist für seine Cyberspionageaktivitäten berüchtigt, die oft darauf abzielen, vertrauliche Daten zu beschaffen, um die strategischen Interessen Nordkoreas voranzutreiben.
Strategische Spionage
Die Ernsthaftigkeit der von Kimsuky ausgehenden Bedrohung wurde deutlich, als Ende November 2023 das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums die Gruppe wegen ihrer Geheimdienstbemühungen sanktionierte. In den letzten Monaten hat Kimsuky Spear-Phishing-Taktiken eingesetzt, um südkoreanische Ziele zu infiltrieren und eine Reihe von Hintertüren zu verbreiten, darunter AppleSeed und AlphaSeed.
Die Analyse von S2W beleuchtet die Infiltrationsmethode von Troll Stealer, bei der ein getarnter Dropper als Installationsdatei für ein Sicherheitsprogramm eines südkoreanischen Unternehmens namens SGA Solutions getarnt wird. Interessanterweise tragen sowohl der Dropper als auch die Malware die Signatur eines legitimen Zertifikats von D2Innovation Co., LTD, was auf einen möglichen Zertifikatsdiebstahl hindeutet.
Targeting durch die Regierung
Ein besonders besorgniserregender Aspekt von Troll Stealer ist seine Fähigkeit, den GPKI-Ordner (Government Public Key Infrastructure) infizierter Systeme zu plündern, was auf ein mögliches Angriffsziel auf administrative und öffentliche Organisationen in Korea hinweist. Dieses Verhalten weicht von früheren Kimsuky-Kampagnen ab und führt zu Spekulationen über taktische Veränderungen oder die Beteiligung anderer Bedrohungsakteure mit Zugriff auf den Quellcode von AppleSeed und AlphaSeed.
Darüber hinaus gibt es Hinweise darauf, dass Kimsuky möglicherweise mit einer anderen Malware, GoBear, in Verbindung steht, die Ähnlichkeiten mit BetaSeed aufweist, einer zuvor verwendeten Hintertür. Insbesondere führt GoBear die SOCKS5-Proxy-Funktionalität ein, eine Abkehr von Kimsukys üblicher Vorgehensweise.
Das Auftauchen von Troll Stealer unterstreicht die anhaltende Bedrohung, die Kimsuky für die koreanische Cybersicherheit darstellt. Da sich Cyber-Bedrohungen ständig weiterentwickeln, bleiben Wachsamkeit und robuste Cybersicherheitsmaßnahmen unerlässlich, um sensible Informationen zu schützen und sich vor böswilligen Akteuren wie Kimsuky zu schützen.
