Durian Malware knyttet til Kimsuky nordkoreanske trusselskuespiller

Den nordkoreanske trusselgruppe kendt som Kimsuky er blevet observeret ved at bruge en ny Golang-baseret malware kaldet Durian i målrettede cyberangreb mod to sydkoreanske kryptovalutavirksomheder. Ifølge sikkerhedsforskere er Durian en tidligere udokumenteret malware med avancerede bagdørsfunktioner, der giver den mulighed for at udføre kommandoer, downloade filer og eksfiltrere data.

Angrebene fandt sted i august og november 2023 og involverede udnyttelse af legitim sydkoreansk software til at infiltrere systemer, selvom den specifikke metode, der blev brugt til at kompromittere softwaren, stadig er uklar. Hvad der er kendt, er, at denne software etablerer en forbindelse til angriberens server for at hente en ondsindet nyttelast, der starter infektionsprocessen.

Infektionskæde af Durian Malware

Den indledende fase fungerer som et installationsprogram for yderligere malware, etablerer persistens på værten og baner vejen for en loader-malware, der i sidste ende udfører Durian. Durian bruges til gengæld til at introducere mere ondsindet software, herunder Kimsukys foretrukne bagdør, AppleSeed, et brugerdefineret proxyværktøj ved navn LazyLoad og legitime værktøjer som ngrok og Chrome Remote Desktop.

Forskere bemærkede, at angriberne havde til formål at stjæle browser-lagrede data såsom cookies og login-legitimationsoplysninger. Et bemærkelsesværdigt aspekt af angrebet var brugen af LazyLoad, som tidligere var forbundet med Andariel, en undergruppe inden for Lazarus Group, hvilket antydede potentielt samarbejde eller overlap mellem trusselsaktører.

Kimsuky har været aktiv siden mindst 2012 og er også kendt under andre navne, herunder APT43, Black Banshee, Emerald Sleet (tidligere Thallium), Springtail, TA427 og Velvet Chollima. Gruppen menes at operere under 63rd Research Center, en afdeling af Nordkoreas Reconnaissance General Bureau (RGB), landets førende militære efterretningsagentur.

Kimsuky-aktørernes primære mål, som fremhævet af det amerikanske FBI og NSA i en nylig advarsel, er at indsamle stjålne data og værdifuld geopolitisk indsigt for det nordkoreanske regime ved at kompromittere politiske analytikere og andre eksperter.