Troll Stealer 惡意軟體威脅針對韓國電腦用戶

最近發現的網路威脅使韓國電腦使用者面臨風險，因為一種被稱為「Troll Stealer」的複雜惡意軟體已經出現，該惡意軟體疑似由與北韓有關聯的民族國家演員 Kimsuky 精心策劃。該惡意軟體使用 Golang（一種程式語言）製作，旨在從受感染的系統中秘密提取敏感資訊。韓國網路安全公司 S2W 公佈了 Troll Stealer 的作案手法，其中包括竊取 SSH、FileZilla、C 盤文件/目錄、瀏覽器數據、系統信息，甚至屏幕截圖。

隱密資料擷取

Troll Stealer 和 Kimsuky 之間的聯繫源於其與 AppleSeed 和 AlphaSeed 等已知惡意軟體菌株的相似性，這些惡意軟體先前被認為是該敵對組織所為。 Kimsuky 也被稱為 APT43 和 ARCHIPELAGO 等各種別名，因其網路間諜活動而臭名昭著，這些活動通常旨在獲取機密資料以推進北韓的戰略利益。

戰略間諜活動

2023 年 11 月下旬，美國財政部外國資產管制辦公室 (OFAC) 制裁該組織的情報收集活動，凸顯了 Kimsuky 構成的威脅的嚴重性。最近幾個月，Kimsuky 採用魚叉式網路釣魚策略滲透韓國目標，分發了一系列後門，包括 AppleSeed 和 AlphaSeed。

S2W 的分析強調了 Troll Stealer 的滲透方法，該方法涉及偽裝成來自一家名為 SGA Solutions 的韓國公司的安全程序安裝文件的偽裝滴管。有趣的是，植入程式和惡意軟體都附有屬於 D2Innovation Co., LTD 的合法憑證簽名，暗示了潛在的憑證竊取行為。

政府目標

Troll Stealer 的一個特別令人擔憂的方面是它能夠從受感染的系統中竊取 GPKI（政府公鑰基礎設施）資料夾，這表明可能以韓國境內的行政和公共組織為目標。這種行為與先前的 Kimsuky 活動不同，導致人們猜測戰術轉變或其他有權存取 AppleSeed 和 AlphaSeed 原始碼的威脅行為者的參與。

此外，有跡象表明 Kimsuky 可能參與另一種惡意軟體 GoBear，該惡意軟體與先前使用的後門 BetaSeed 具有相似之處。值得注意的是，GoBear 引入了 SOCKS5 代理功能，這與 Kimsuky 慣用的操作方式不同。

Troll Stealer 的出現凸顯了 Kimsuky 對韓國網路安全的持續威脅。隨著網路威脅的不斷發展，保持警惕和強有力的網路安全措施對於保護敏感資訊和防範 Kimsuky 等惡意行為者仍然至關重要。