Troll Stealer 惡意軟體威脅針對韓國電腦用戶
最近發現的網路威脅使韓國電腦使用者面臨風險,因為一種被稱為「Troll Stealer」的複雜惡意軟體已經出現,該惡意軟體疑似由與北韓有關聯的民族國家演員 Kimsuky 精心策劃。該惡意軟體使用 Golang(一種程式語言)製作,旨在從受感染的系統中秘密提取敏感資訊。韓國網路安全公司 S2W 公佈了 Troll Stealer 的作案手法,其中包括竊取 SSH、FileZilla、C 盤文件/目錄、瀏覽器數據、系統信息,甚至屏幕截圖。
Table of Contents
隱密資料擷取
Troll Stealer 和 Kimsuky 之間的聯繫源於其與 AppleSeed 和 AlphaSeed 等已知惡意軟體菌株的相似性,這些惡意軟體先前被認為是該敵對組織所為。 Kimsuky 也被稱為 APT43 和 ARCHIPELAGO 等各種別名,因其網路間諜活動而臭名昭著,這些活動通常旨在獲取機密資料以推進北韓的戰略利益。
戰略間諜活動
2023 年 11 月下旬,美國財政部外國資產管制辦公室 (OFAC) 制裁該組織的情報收集活動,凸顯了 Kimsuky 構成的威脅的嚴重性。最近幾個月,Kimsuky 採用魚叉式網路釣魚策略滲透韓國目標,分發了一系列後門,包括 AppleSeed 和 AlphaSeed。
S2W 的分析強調了 Troll Stealer 的滲透方法,該方法涉及偽裝成來自一家名為 SGA Solutions 的韓國公司的安全程序安裝文件的偽裝滴管。有趣的是,植入程式和惡意軟體都附有屬於 D2Innovation Co., LTD 的合法憑證簽名,暗示了潛在的憑證竊取行為。
政府目標
Troll Stealer 的一個特別令人擔憂的方面是它能夠從受感染的系統中竊取 GPKI(政府公鑰基礎設施)資料夾,這表明可能以韓國境內的行政和公共組織為目標。這種行為與先前的 Kimsuky 活動不同,導致人們猜測戰術轉變或其他有權存取 AppleSeed 和 AlphaSeed 原始碼的威脅行為者的參與。
此外,有跡象表明 Kimsuky 可能參與另一種惡意軟體 GoBear,該惡意軟體與先前使用的後門 BetaSeed 具有相似之處。值得注意的是,GoBear 引入了 SOCKS5 代理功能,這與 Kimsuky 慣用的操作方式不同。
Troll Stealer 的出現凸顯了 Kimsuky 對韓國網路安全的持續威脅。隨著網路威脅的不斷發展,保持警惕和強有力的網路安全措施對於保護敏感資訊和防範 Kimsuky 等惡意行為者仍然至關重要。