Απειλή κακόβουλου λογισμικού Troll Stealer στοχεύει Κορεάτες χρήστες υπολογιστών

Μια απειλή στον κυβερνοχώρο που ανακαλύφθηκε πρόσφατα έθεσε τους Κορεάτες χρήστες υπολογιστών σε κίνδυνο, καθώς εμφανίστηκε ένα εξελιγμένο κακόβουλο λογισμικό με το όνομα "Troll Stealer", το οποίο υποπτεύεται ότι ενορχηστρώθηκε από τον συνδεδεμένο με τη Βόρεια Κορέα ηθοποιό εθνικού κράτους, Kimsuky. Αυτό το κακόβουλο λογισμικό, που δημιουργήθηκε με χρήση Golang, μια γλώσσα προγραμματισμού, έχει σχεδιαστεί για να εξάγει κρυφά ευαίσθητες πληροφορίες από μολυσμένα συστήματα. Η νοτιοκορεατική εταιρεία κυβερνοασφάλειας S2W αποκάλυψε τον τρόπο λειτουργίας του Troll Stealer, ο οποίος περιλαμβάνει την κλοπή αρχείων/καταλόγων μονάδας δίσκου SSH, FileZilla, C, δεδομένων προγράμματος περιήγησης, πληροφοριών συστήματος, ακόμη και καταγραφής οθόνης.

Κρυφή εξαγωγή δεδομένων

Οι συνδέσεις μεταξύ του Troll Stealer και του Kimsuky προέρχονται από την ομοιότητά του με γνωστά στελέχη κακόβουλου λογισμικού όπως το AppleSeed και το AlphaSeed, που προηγουμένως αποδίδονταν σε αυτήν την αντίπαλη ομάδα. Ο Kimsuky, που προσδιορίζεται επίσης με διάφορα ψευδώνυμα όπως το APT43 και το ARCHIPELAGO, είναι διαβόητο για τις δραστηριότητές του στον κυβερνοχώρο κατασκοπείας, που συχνά στοχεύουν στην απόκτηση εμπιστευτικών δεδομένων για την προώθηση των στρατηγικών συμφερόντων της Βόρειας Κορέας.

Στρατηγική Κατασκοπεία

Η σοβαρότητα της απειλής που θέτει ο Kimsuky υπογραμμίστηκε όταν, στα τέλη Νοεμβρίου 2023, το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ (OFAC) επέβαλε κυρώσεις στην ομάδα για τις προσπάθειές της για συλλογή πληροφοριών. Τους τελευταίους μήνες ο Kimsuky χρησιμοποιεί τακτικές spear-phishing για να διεισδύσει σε στόχους της Νότιας Κορέας, διανέμοντας μια σειρά από backdoors, συμπεριλαμβανομένων των AppleSeed και AlphaSeed.

Η ανάλυση του S2W υπογραμμίζει τη μέθοδο διείσδυσης του Troll Stealer, η οποία περιλαμβάνει ένα μεταμφιεσμένο σταγονόμετρο που μεταμφιέζεται σε αρχείο εγκατάστασης προγράμματος ασφαλείας από μια εταιρεία της Νότιας Κορέας που ονομάζεται SGA Solutions. Περιέργως, τόσο το dropper όσο και το κακόβουλο λογισμικό φέρουν την υπογραφή ενός νόμιμου πιστοποιητικού που ανήκει στην D2Innovation Co., LTD, υπονοώντας πιθανή κλοπή πιστοποιητικού.

Κυβερνητική στόχευση

Μια ιδιαίτερα ανησυχητική πτυχή του Troll Stealer είναι η ικανότητά του να λεηλατεί τον φάκελο GPKI (Government Public Key Infrastructure) από μολυσμένα συστήματα, υποδεικνύοντας μια πιθανή στόχευση διοικητικών και δημόσιων οργανισμών εντός της Κορέας. Αυτή η συμπεριφορά αποκλίνει από προηγούμενες καμπάνιες Kimsuky, οδηγώντας σε εικασίες για αλλαγές τακτικής ή εμπλοκή άλλων παραγόντων απειλών με πρόσβαση στον πηγαίο κώδικα AppleSeed και AlphaSeed.

Επιπλέον, οι ενδείξεις υποδηλώνουν πιθανή εμπλοκή του Kimsuky με ένα άλλο κακόβουλο λογισμικό, το GoBear, το οποίο μοιράζεται ομοιότητες με το BetaSeed, ένα παλιό κερκόπορτο. Συγκεκριμένα, η GoBear εισάγει τη λειτουργικότητα του διακομιστή μεσολάβησης SOCKS5, μια απόκλιση από τον συνήθη τρόπο λειτουργίας του Kimsuky.

Η εμφάνιση του Troll Stealer υπογραμμίζει την επίμονη απειλή που θέτει ο Kimsuky για την κορεατική κυβερνοασφάλεια. Καθώς οι απειλές στον κυβερνοχώρο συνεχίζουν να εξελίσσονται, η επαγρύπνηση και τα ισχυρά μέτρα κυβερνοασφάλειας παραμένουν απαραίτητα για τη διαφύλαξη ευαίσθητων πληροφοριών και την προστασία από κακόβουλους παράγοντες όπως ο Kimsuky.