Troll Stealer マルウェアの脅威が韓国のコンピュータ ユーザーを標的に
最近発見されたサイバー脅威により、韓国のコンピュータ ユーザーが危険にさらされています。北朝鮮と関連のある国民国家の主体であるキムスキーによって組織されたと疑われる「Troll Stealer」と呼ばれる高度なマルウェアが出現しました。このマルウェアは、プログラミング言語 Golang を使用して作成され、感染したシステムから機密情報をこっそり抽出するように設計されています。韓国のサイバーセキュリティ企業 S2W は、SSH、FileZilla、C ドライブのファイル/ディレクトリ、ブラウザ データ、システム情報、さらには画面キャプチャの窃盗を含む Troll Stealer の手口を公開しました。
Table of Contents
ステルスなデータ抽出
Troll Stealer と Kimsuky との関連性は、以前にこの敵対的なグループによるものと考えられていた AppleSeed や AlphaSeed などの既知のマルウェア株との類似性に基づいています。 APT43 や ARCHIPELAGO などのさまざまな別名でも識別される Kimsuky は、北朝鮮の戦略的利益を促進するために機密データを取得することを目的としたサイバースパイ活動で悪名高いです。
戦略的スパイ活動
キムスキー氏がもたらす脅威の深刻さは、2023年11月下旬、米財務省外国資産管理局(OFAC)が情報収集活動を理由に同グループを制裁したことで浮き彫りになった。ここ数カ月、Kimsuky は韓国のターゲットに侵入するためにスピアフィッシング戦術を採用し、AppleSeed や AlphaSeed を含むさまざまなバックドアを配布しています。
S2W の分析では、Troll Stealer の侵入手法が明らかになりました。この手法には、SGA Solutions という名前の韓国企業のセキュリティ プログラム インストール ファイルを装った偽装ドロッパーが含まれています。興味深いことに、ドロッパーとマルウェアは両方とも D2Innovation Co., LTD に属する正規の証明書の署名を持っており、証明書の盗難の可能性を示唆しています。
政府の標的化
Troll Stealer の特に懸念される側面は、感染したシステムから GPKI (政府公開鍵インフラストラクチャ) フォルダーを略奪する機能であり、韓国内の行政機関や公的機関が標的となる可能性を示しています。この行動は以前の Kimsuky キャンペーンとは異なり、戦術の変更や、AppleSeed および AlphaSeed のソース コードへのアクセスに対する他の脅威アクターの関与に関する憶測につながります。
さらに、Kimsuky が、以前に使用されていたバックドアである BetaSeed と類似点を共有する別のマルウェア GoBear に関与している可能性を示唆する兆候があります。特に、GoBear は SOCKS5 プロキシ機能を導入しており、Kimsuky の通常の手口とは異なります。
トロール・スティーラーの出現は、キムスキーが韓国のサイバーセキュリティーにもたらす持続的な脅威を浮き彫りにしている。サイバー脅威が進化し続ける中、機密情報を保護し、Kimsuky のような悪意のある攻撃者から保護するには、警戒と堅牢なサイバーセキュリティ対策が引き続き不可欠です。