Durian-Malware steht mit nordkoreanischem Bedrohungsakteur Kimsuky in Verbindung

Die nordkoreanische Bedrohungsgruppe Kimsuky wurde dabei beobachtet, wie sie bei gezielten Cyberangriffen auf zwei südkoreanische Kryptowährungsunternehmen eine neue Golang-basierte Malware namens Durian einsetzte. Laut Sicherheitsforschern handelt es sich bei Durian um eine bisher nicht dokumentierte Malware mit erweiterten Backdoor-Funktionen, die es ihr ermöglichen, Befehle auszuführen, Dateien herunterzuladen und Daten zu exfiltrieren.

Die Angriffe ereigneten sich im August und November 2023 und beinhalteten die Nutzung legitimer südkoreanischer Software zur Infiltration von Systemen, wobei die konkrete Methode zur Kompromittierung der Software unklar bleibt. Bekannt ist, dass diese Software eine Verbindung zum Server der Angreifer herstellt, um eine bösartige Nutzlast abzurufen und so den Infektionsprozess einzuleiten.

Infektionskette der Durian-Malware

Die erste Phase dient als Installationsprogramm für weitere Malware, sorgt für Persistenz auf dem Host und ebnet den Weg für eine Loader-Malware, die schließlich Durian ausführt. Durian wiederum wird verwendet, um weitere Schadsoftware einzuführen, darunter Kimsukys bevorzugte Hintertür AppleSeed, ein benutzerdefiniertes Proxy-Tool namens LazyLoad und legitime Tools wie ngrok und Chrome Remote Desktop.

Forscher stellten fest, dass die Angreifer darauf abzielten, im Browser gespeicherte Daten wie Cookies und Anmeldeinformationen zu stehlen. Ein bemerkenswerter Aspekt des Angriffs war die Verwendung von LazyLoad, das zuvor mit Andariel, einer Untergruppe der Lazarus-Gruppe, in Verbindung gebracht wurde, was auf eine mögliche Zusammenarbeit oder Überschneidung zwischen den Bedrohungsakteuren hindeutet.

Kimsuky ist seit mindestens 2012 aktiv und ist auch unter anderen Namen bekannt, darunter APT43, Black Banshee, Emerald Sleet (früher Thallium), Springtail, TA427 und Velvet Chollima. Die Gruppe soll dem 63. Forschungszentrum unterstehen, einer Abteilung des nordkoreanischen Reconnaissance General Bureau (RGB), dem wichtigsten militärischen Geheimdienst des Landes.

Wie das US-amerikanische FBI und die NSA in einer aktuellen Warnung betonten, besteht das Hauptziel der Kimsuky-Akteure darin, durch die Kompromittierung von Politikanalysten und anderen Experten gestohlene Daten und wertvolle geopolitische Erkenntnisse für das nordkoreanische Regime zu sammeln.