Troll Stealer 恶意软件威胁针对韩国计算机用户

最近发现的网络威胁使韩国计算机用户面临风险，因为一种被称为“Troll Stealer”的复杂恶意软件已经出现，该恶意软件疑似由与朝鲜有关联的民族国家演员 Kimsuky 精心策划。该恶意软件使用 Golang（一种编程语言）制作，旨在从受感染的系统中秘密提取敏感信息。韩国网络安全公司 S2W 公布了 Troll Stealer 的作案手法，其中包括窃取 SSH、FileZilla、C 盘文件/目录、浏览器数据、系统信息，甚至屏幕截图。

隐秘数据提取

Troll Stealer 和 Kimsuky 之间的联系源于其与 AppleSeed 和 AlphaSeed 等已知恶意软件菌株的相似性，这些恶意软件此前被认为是该敌对组织所为。 Kimsuky 也被称为 APT43 和 ARCHIPELAGO 等各种别名，因其网络间谍活动而臭名昭著，这些活动通常旨在获取机密数据以推进朝鲜的战略利益。

战略间谍活动

2023 年 11 月下旬，美国财政部外国资产控制办公室 (OFAC) 制裁该组织的情报收集活动，凸显了 Kimsuky 构成的威胁的严重性。最近几个月，Kimsuky 采用鱼叉式网络钓鱼策略渗透韩国目标，分发了一系列后门，包括 AppleSeed 和 AlphaSeed。

S2W 的分析强调了 Troll Stealer 的渗透方法，该方法涉及伪装成来自一家名为 SGA Solutions 的韩国公司的安全程序安装文件的伪装滴管。有趣的是，植入程序和恶意软件都带有属于 D2Innovation Co., LTD 的合法证书签名，暗示了潜在的证书盗窃行为。

政府目标

Troll Stealer 的一个特别令人担忧的方面是它能够从受感染的系统中窃取 GPKI（政府公钥基础设施）文件夹，这表明可能以韩国境内的行政和公共组织为目标。这种行为与之前的 Kimsuky 活动不同，导致人们猜测战术转变或其他有权访问 AppleSeed 和 AlphaSeed 源代码的威胁行为者的参与。

此外，有迹象表明 Kimsuky 可能参与另一种恶意软件 GoBear，该恶意软件与之前使用的后门 BetaSeed 具有相似之处。值得注意的是，GoBear 引入了 SOCKS5 代理功能，这与 Kimsuky 惯用的操作方式不同。

Troll Stealer 的出现凸显了 Kimsuky 对韩国网络安全构成的持续威胁。随着网络威胁的不断发展，保持警惕和强有力的网络安全措施对于保护敏感信息和防范 Kimsuky 等恶意行为者仍然至关重要。