Вредоносное ПО Troll Stealer нацелено на корейских пользователей компьютеров
Недавно обнаруженная киберугроза поставила под угрозу корейских пользователей компьютеров, поскольку появилось сложное вредоносное ПО, получившее название «Troll Stealer», предположительно организованное связанным с Северной Кореей национальным государством Кимсуки. Это вредоносное ПО, созданное с использованием языка программирования Golang, предназначено для скрытного извлечения конфиденциальной информации из зараженных систем. Южнокорейская компания по кибербезопасности S2W раскрыла методы работы Troll Stealer, которые включают в себя кражу SSH, FileZilla, файлов/каталогов на диске C, данных браузера, системной информации и даже снимков экрана.
Table of Contents
Скрытое извлечение данных
Связь между Troll Stealer и Kimsuky основана на его сходстве с известными штаммами вредоносного ПО, такими как AppleSeed и AlphaSeed, ранее отнесенными к этой враждебной группе. Кимсуки, также известный под различными псевдонимами, такими как APT43 и АРХИПЕЛАГ, печально известен своей деятельностью в области кибершпионажа, часто направленной на получение конфиденциальных данных для продвижения стратегических интересов Северной Кореи.
Стратегический шпионаж
Серьезность угрозы, исходящей от Кимсуки, была подчеркнута, когда в конце ноября 2023 года Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции против группы за ее деятельность по сбору разведывательной информации. В последние месяцы Кимсуки использовал тактику целевого фишинга для проникновения в южнокорейские объекты, распространяя ряд бэкдоров, включая AppleSeed и AlphaSeed.
В анализе S2W подчеркивается метод проникновения Troll Stealer, который включает в себя замаскированный дроппер, маскирующийся под установочный файл программы безопасности от южнокорейской компании SGA Solutions. Любопытно, что и дроппер, и вредоносное ПО имеют подпись законного сертификата, принадлежащего D2Innovation Co., LTD, что намекает на возможную кражу сертификата.
Государственный таргетинг
Особенно тревожным аспектом Troll Stealer является его способность похищать папку GPKI (правительственная инфраструктура открытых ключей) из зараженных систем, что указывает на возможную нацеленность на административные и общественные организации в Корее. Такое поведение отличается от предыдущих кампаний Кимсуки, что приводит к предположениям о тактических изменениях или участии других субъектов угрозы, имеющих доступ к исходному коду AppleSeed и AlphaSeed.
Кроме того, есть признаки того, что Кимсуки потенциально причастен к другому вредоносному ПО, GoBear, имеющему сходство с BetaSeed, ранее использовавшимся бэкдором. Примечательно, что GoBear представляет функцию прокси-сервера SOCKS5, что является отходом от обычного режима работы Кимсуки.
Появление Troll Stealer подчеркивает постоянную угрозу, которую Кимсуки представляет для корейской кибербезопасности. Поскольку киберугрозы продолжают развиваться, бдительность и надежные меры кибербезопасности по-прежнему необходимы для защиты конфиденциальной информации и защиты от злоумышленников, таких как Кимсуки.
