Troll Stealer-hot mot skadlig programvara riktar sig till koreanska datoranvändare
Ett nyligen upptäckt cyberhot har satt koreanska datoranvändare i fara, eftersom en sofistikerad skadlig programvara kallad "Troll Stealer" har dykt upp, misstänkt vara orkestrerad av den Nordkorea-kopplade nationalstatsaktören Kimsuky. Denna skadliga programvara, skapad med Golang, ett programmeringsspråk, är utformad för att smyg extrahera känslig information från infekterade system. Sydkoreanska cybersäkerhetsföretaget S2W har avslöjat modus operandi för Troll Stealer, vilket inkluderar snatteri av SSH, FileZilla, C-drivfiler/kataloger, webbläsardata, systeminformation och till och med skärmdumpar.
Table of Contents
Smygande dataextraktion
Kopplingarna mellan Troll Stealer och Kimsuky dras från dess likhet med kända skadlig programvara som AppleSeed och AlphaSeed, som tidigare tillskrivits denna motståndsgrupp. Kimsuky, även identifierad under olika alias som APT43 och ARCHIPELAGO, är ökänd för sina cyberspionageaktiviteter, ofta syftade till att skaffa konfidentiell data för att främja Nordkoreas strategiska intressen.
Strategiskt spionage
Allvaret i hotet från Kimsuky underströks när, i slutet av november 2023, det amerikanska finansdepartementets Office of Foreign Assets Control (OFAC) sanktionerade gruppen för dess underrättelseinsamlingssträvanden. Under de senaste månaderna har Kimsuky använt spjutfiske-taktik för att infiltrera sydkoreanska mål och distribuera en rad bakdörrar, inklusive AppleSeed och AlphaSeed.
S2W:s analys lyfter fram Troll Stealers infiltrationsmetod, som innebär att en förtäckt droppare maskerar sig som en installationsfil för säkerhetsprogram från ett sydkoreanskt företag vid namn SGA Solutions. Spännande nog har både dropparen och skadlig programvara signaturen av ett legitimt certifikat som tillhör D2Innovation Co., LTD, vilket antyder potentiell certifikatstöld.
Regeringens inriktning
En särskilt oroande aspekt av Troll Stealer är dess förmåga att plundra mappen GPKI (Government Public Key Infrastructure) från infekterade system, vilket indikerar en möjlig inriktning på administrativa och offentliga organisationer i Korea. Detta beteende avviker från tidigare Kimsuky-kampanjer, vilket leder till spekulationer om taktiska förändringar eller inblandning av andra hotaktörer med tillgång till AppleSeed och AlphaSeeds källkod.
Dessutom tyder indikationer på Kimsukys potentiella inblandning i en annan skadlig kod, GoBear, som delar likheter med BetaSeed, en tidigare använd bakdörr. GoBear introducerar SOCKS5 proxy-funktionalitet, en avvikelse från Kimsukys vanliga arbetssätt.
Framväxten av Troll Stealer understryker det ihållande hot som Kimsuky utgör mot koreansk cybersäkerhet. När cyberhot fortsätter att utvecklas är vaksamhet och robusta cybersäkerhetsåtgärder fortfarande viktiga för att skydda känslig information och skydda mot illvilliga aktörer som Kimsuky.
