„Troll Stealer“ kenkėjiškų programų grėsmė nukreipta į Korėjos kompiuterių vartotojus
Neseniai aptikta kibernetinė grėsmė Korėjos kompiuterių vartotojams sukėlė pavojų, nes atsirado sudėtinga kenkėjiška programa, pavadinta „Troll Stealer“, kurią, kaip įtariama, organizavo su Šiaurės Korėja susijęs nacionalinės valstybės veikėjas Kimsuky. Ši kenkėjiška programa, sukurta naudojant Golang, programavimo kalbą, skirta slaptai išgauti slaptą informaciją iš užkrėstų sistemų. Pietų Korėjos kibernetinio saugumo įmonė S2W pristatė Troll Stealer veikimo būdą, kuris apima SSH, FileZilla, C disko failų / katalogų, naršyklės duomenų, sistemos informacijos ir net ekrano vaizdų grobstymą.
Table of Contents
Slaptas duomenų išgavimas
Ryšiai tarp „Troll Stealer“ ir „Kimsuky“ atsiranda dėl panašumo į žinomas kenkėjiškų programų padermes, tokias kaip „AppleSeed“ ir „AlphaSeed“, kurios anksčiau buvo priskirtos šiai priešininkų grupei. Kimsuky, taip pat žinomas įvairiais slapyvardžiais, tokiais kaip APT43 ir ARCHIPELAGO, yra liūdnai pagarsėjęs savo kibernetinio šnipinėjimo veikla, kuria dažnai siekiama gauti konfidencialių duomenų, kad būtų skatinami Šiaurės Korėjos strateginiai interesai.
Strateginis šnipinėjimas
Kimsuky keliamos grėsmės rimtumas buvo pabrėžtas, kai 2023 metų lapkričio pabaigoje JAV iždo departamento Užsienio turto kontrolės biuras (OFAC) skyrė sankcijas grupei už jos pastangas rinkti žvalgybos informaciją. Pastaraisiais mėnesiais Kimsuky taikė sukčiavimo spygliu taktiką, kad įsiskverbtų į Pietų Korėjos taikinius, platindamas daugybę užpakalinių durų, įskaitant AppleSeed ir AlphaSeed.
S2W analizė pabrėžia „Troll Stealer“ įsiskverbimo metodą, apimantį užmaskuotą lašintuvą, prisidengiantį saugos programos diegimo failu iš Pietų Korėjos įmonės SGA Solutions. Įdomu tai, kad tiek lašintuvas, tiek kenkėjiška programa turi teisėto sertifikato, priklausančio D2Innovation Co., LTD, parašą, nurodantį galimą sertifikato vagystę.
Vyriausybės taikymas
Ypač susirūpinimą keliantis „Troll Stealer“ aspektas yra jo gebėjimas iš užkrėstų sistemų atplėšti GPKI (vyriausybinio viešojo rakto infrastruktūros) aplanką, nurodant galimą administracinių ir viešųjų organizacijų taikymą Korėjoje. Šis elgesys skiriasi nuo ankstesnių Kimsuky kampanijų, todėl kyla spėlionių apie taktinius pokyčius arba kitų grėsmės veikėjų, turinčių prieigą prie AppleSeed ir AlphaSeed šaltinio kodo, įtraukimą.
Be to, požymiai rodo, kad Kimsuky gali būti susijęs su kita kenkėjiška programa „GoBear“, kuri yra panaši į „BetaSeed“, anksčiau naudotą užpakalinę durelę. Pažymėtina, kad „GoBear“ pristato SOCKS5 tarpinio serverio funkciją, nukrypstant nuo įprasto Kimsuky veikimo.
Troll Stealer atsiradimas pabrėžia nuolatinę Kimsuky keliamą grėsmę Korėjos kibernetiniam saugumui. Kadangi kibernetinės grėsmės ir toliau vystosi, budrumas ir patikimos kibernetinio saugumo priemonės išlieka būtinos siekiant apsaugoti neskelbtiną informaciją ir apsisaugoti nuo kenkėjiškų veikėjų, tokių kaip Kimsuky.
