A trolllopó rosszindulatú programok a koreai számítógép-felhasználókat célozzák
A közelmúltban felfedezett kiberfenyegetés veszélybe sodorta a koreai számítógép-felhasználókat, ugyanis megjelent a "Troll Stealer" névre keresztelt kifinomult rosszindulatú program, amelyet a gyanú szerint az Észak-Koreához köthető nemzetállami szereplő, Kimsuky szervezett. Ez a rosszindulatú program, amelyet a Golang programozási nyelv használatával hoztak létre, úgy tervezték, hogy titokban kinyerje az érzékeny információkat a fertőzött rendszerekről. A dél-koreai S2W kiberbiztonsági cég bemutatta a Troll Stealer működési módját, amely magában foglalja az SSH, FileZilla, C meghajtó fájlok/könyvtárak, böngészőadatok, rendszerinformációk és még képernyőképek ellopását is.
Table of Contents
Lopakodó adatkinyerés
A Troll Stealer és a Kimsuky közötti kapcsolatok abból erednek, hogy hasonlít az ismert rosszindulatú programtörzsekhez, mint például az AppleSeed és az AlphaSeed, amelyeket korábban ennek az ellenséges csoportnak tulajdonítottak. Kimsuky, akit különféle álnevekkel is azonosítottak, mint például az APT43 és az ARCHIPELAGO, hírhedt kiberkémtevékenységéről, amelynek célja gyakran bizalmas adatok megszerzése Észak-Korea stratégiai érdekeinek előmozdítása érdekében.
Stratégiai kémkedés
A Kimsuky által jelentett fenyegetés súlyosságát hangsúlyozta, amikor 2023 novemberének végén az Egyesült Államok Pénzügyminisztériumának Külföldi Vagyonellenőrzési Hivatala (OFAC) szankcionálta a csoportot hírszerzési törekvései miatt. Az elmúlt hónapokban Kimsuky lándzsás adathalász taktikát alkalmazott, hogy beszivárogjon dél-koreai célpontokba, és számos hátsó ajtót terjesztett, köztük az AppleSeedet és az AlphaSeedet.
Az S2W elemzése kiemeli a Troll Stealer beszivárgási módszerét, amely egy álcázott cseppentőt foglal magában, amely egy SGA Solutions nevű dél-koreai cég biztonsági program telepítőfájljának álcázza magát. Érdekes módon mind a cseppentő, mind a rosszindulatú program a D2Innovation Co., LTD-hez tartozó jogos tanúsítvány aláírását viseli, ami potenciális tanúsítványlopásra utal.
Kormányzati célzás
A Troll Stealer különösen aggasztó szempontja, hogy képes kifosztani a GPKI (Government Public Key Infrastructure) mappát a fertőzött rendszerekről, jelezve, hogy Koreában adminisztratív és állami szervezeteket céloznak meg. Ez a viselkedés eltér a korábbi Kimsuky-kampányoktól, ami taktikai váltásokkal vagy más, az AppleSeedhez és az AlphaSeed forráskódhoz hozzáféréssel rendelkező fenyegető szereplők bevonásával kapcsolatos spekulációkhoz vezet.
Ezenkívül a jelek arra utalnak, hogy Kimsuky egy másik rosszindulatú programban, a GoBear-ben is érintett lehet, amely hasonlóságot mutat a BetaSeeddel, egy korábban használt hátsó ajtóval. Nevezetesen, a GoBear bevezeti a SOCKS5 proxy funkciót, ami eltér Kimsuky szokásos működési módjától.
A Troll Stealer megjelenése rávilágít arra, hogy Kimsuky folyamatosan fenyegeti a koreai kiberbiztonságot. Ahogy a kiberfenyegetések folyamatosan fejlődnek, az éberség és a határozott kiberbiztonsági intézkedések továbbra is elengedhetetlenek az érzékeny információk védelme és az olyan rosszindulatú szereplők elleni védelem érdekében, mint a Kimsuky.
