Zagrożenie złośliwym oprogramowaniem typu Troll Stealer atakuje koreańskich użytkowników komputerów
Niedawno odkryte zagrożenie cybernetyczne naraziło koreańskich użytkowników komputerów na ryzyko, ponieważ pojawiło się wyrafinowane złośliwe oprogramowanie zwane „Złodziejem trolli”, co do którego istnieje podejrzenie, że został zaaranżowany przez powiązane z Koreą Północną państwo narodowe Kimsuky. To złośliwe oprogramowanie, stworzone przy użyciu języka programowania Golang, ma na celu potajemne wydobywanie poufnych informacji z zainfekowanych systemów. Południowokoreańska firma zajmująca się bezpieczeństwem cybernetycznym S2W ujawniła sposób działania Troll Stealer, który obejmuje kradzież plików/katalogów na dyskach SSH, FileZilla, C, danych przeglądarki, informacji o systemie, a nawet zrzutów ekranu.
Table of Contents
Potajemne wyodrębnianie danych
Powiązania między Troll Stealer i Kimsuky wynikają z jego podobieństwa do znanych odmian złośliwego oprogramowania, takich jak AppleSeed i AlphaSeed, wcześniej przypisanych tej grupie przeciwników. Kimsuky, występujący również pod różnymi pseudonimami, takimi jak APT43 i ARCHIPELAGO, słynie z działalności cyberszpiegowskiej, której często celem jest zdobycie poufnych danych w celu realizacji strategicznych interesów Korei Północnej.
Szpiegostwo strategiczne
Powaga zagrożenia stwarzanego przez Kimsuky’ego została podkreślona, gdy pod koniec listopada 2023 r. Biuro Kontroli Aktywów Zagranicznych (OFAC) Departamentu Skarbu USA nałożyło na tę grupę sankcje za wysiłki w zakresie gromadzenia danych wywiadowczych. W ostatnich miesiącach Kimsuky stosował taktykę spear-phishingu w celu infiltracji celów w Korei Południowej, dystrybuując szereg backdoorów, w tym AppleSeed i AlphaSeed.
Analiza S2W podkreśla metodę infiltracji Troll Stealer, która obejmuje ukryty dropper udający plik instalacyjny programu zabezpieczającego południowokoreańskiej firmy SGA Solutions. Co ciekawe, zarówno dropper, jak i szkodliwe oprogramowanie noszą podpis legalnego certyfikatu należącego do D2Innovation Co., LTD, co wskazuje na potencjalną kradzież certyfikatu.
Targetowanie rządowe
Szczególnie niepokojącym aspektem Troll Stealer jest jego zdolność do plądrowania folderu GPKI (Government Public Key Infrastructure) z zainfekowanych systemów, co wskazuje na możliwy atak na organizacje administracyjne i publiczne w Korei. Zachowanie to odbiega od poprzednich kampanii Kimsuky, co prowadzi do spekulacji na temat zmian taktycznych lub zaangażowania innych podmiotów zagrażających mających dostęp do kodu źródłowego AppleSeed i AlphaSeed.
Co więcej, istnieją przesłanki wskazujące na potencjalne powiązanie Kimsuky z innym złośliwym oprogramowaniem, GoBear, które jest podobne do BetaSeed, używanego wcześniej backdoora. Warto zauważyć, że GoBear wprowadza funkcję proxy SOCKS5, co stanowi odejście od zwykłego sposobu działania Kimsuky.
Pojawienie się Troll Stealer podkreśla ciągłe zagrożenie, jakie Kimsuky stanowi dla koreańskiego bezpieczeństwa cybernetycznego. Ponieważ zagrożenia cybernetyczne stale ewoluują, czujność i solidne środki bezpieczeństwa cybernetycznego pozostają niezbędne do ochrony poufnych informacji i ochrony przed złośliwymi podmiotami, takimi jak Kimsuky.
