Troll Stealer Malware-trussel retter seg mot koreanske datamaskinbrukere
En nylig oppdaget cybertrussel har satt koreanske databrukere i fare, ettersom en sofistikert skadevare kalt "Troll Stealer" har dukket opp, mistenkt for å være orkestrert av den Nord-Korea-tilknyttede nasjonalstatsaktøren, Kimsuky. Denne skadelige programvaren, laget med Golang, et programmeringsspråk, er designet for å snike ut sensitiv informasjon fra infiserte systemer. Det sørkoreanske cybersikkerhetsfirmaet S2W har avduket modus operandi til Troll Stealer, som inkluderer tyveri av SSH, FileZilla, C-stasjonsfiler/-kataloger, nettleserdata, systeminformasjon og til og med skjermbilder.
Table of Contents
Skjult datautvinning
Forbindelsene mellom Troll Stealer og Kimsuky er trukket fra dens likhet med kjente skadevarestammer som AppleSeed og AlphaSeed, som tidligere ble tilskrevet denne motstandsgruppen. Kimsuky, også identifisert under forskjellige aliaser som APT43 og ARCHIPELAGO, er beryktet for sine cyberspionasjeaktiviteter, ofte rettet mot å skaffe konfidensielle data for å fremme Nord-Koreas strategiske interesser.
Strategisk spionasje
Alvorligheten av trusselen fra Kimsuky ble understreket da det amerikanske finansdepartementets kontor for utenrikskontroll (OFAC) i slutten av november 2023 sanksjonerte gruppen for dens etterretningsinnhenting. De siste månedene har Kimsuky brukt spyd-phishing-taktikker for å infiltrere sørkoreanske mål, og distribuere en rekke bakdører, inkludert AppleSeed og AlphaSeed.
S2Ws analyse fremhever Troll Stealers infiltrasjonsmetode, som involverer en forkledd dropper som maskerer seg som en installasjonsfil for sikkerhetsprogram fra et sørkoreansk selskap ved navn SGA Solutions. Interessant nok bærer både dropperen og skadelig programvare signaturen til et legitimt sertifikat som tilhører D2Innovation Co., LTD, som antyder potensielt sertifikattyveri.
Offentlig målretting
Et spesielt bekymringsfullt aspekt ved Troll Stealer er dens evne til å plyndre mappen GPKI (Government Public Key Infrastructure) fra infiserte systemer, noe som indikerer en mulig målretting mot administrative og offentlige organisasjoner i Korea. Denne oppførselen avviker fra tidligere Kimsuky-kampanjer, noe som fører til spekulasjoner om taktiske endringer eller involvering av andre trusselaktører med tilgang til AppleSeed og AlphaSeed kildekode.
Videre tyder indikasjoner på Kimsukys potensielle involvering med en annen skadelig programvare, GoBear, som deler likheter med BetaSeed, en tidligere brukt bakdør. Spesielt introduserer GoBear SOCKS5 proxy-funksjonalitet, et avvik fra Kimsukys vanlige modus operandi.
Fremveksten av Troll Stealer understreker den vedvarende trusselen Kimsuky utgjør mot koreansk cybersikkerhet. Ettersom cybertrusler fortsetter å utvikle seg, er årvåkenhet og robuste cybersikkerhetstiltak fortsatt avgjørende for å beskytte sensitiv informasjon og beskytte mot ondsinnede aktører som Kimsuky.