Το κακόβουλο λογισμικό Durian συνδέεται με τον ηθοποιό απειλών της Βόρειας Κορέας Kimsuky

Η βορειοκορεατική ομάδα απειλών γνωστή ως Kimsuky έχει παρατηρηθεί να χρησιμοποιεί ένα νέο κακόβουλο λογισμικό με βάση το Golang που ονομάζεται Durian σε στοχευμένες επιθέσεις στον κυβερνοχώρο εναντίον δύο νοτιοκορεατικών εταιρειών κρυπτονομισμάτων. Σύμφωνα με ερευνητές ασφαλείας, το Durian είναι ένα κακόβουλο λογισμικό που δεν είχε τεκμηριωθεί προηγουμένως με προηγμένες δυνατότητες backdoor που του επιτρέπουν να εκτελεί εντολές, να κατεβάζει αρχεία και να εκμεταλλεύεται δεδομένα.

Οι επιθέσεις σημειώθηκαν τον Αύγουστο και τον Νοέμβριο του 2023 και περιελάμβαναν εκμετάλλευση νόμιμου λογισμικού της Νότιας Κορέας για διείσδυση σε συστήματα, αν και η συγκεκριμένη μέθοδος που χρησιμοποιήθηκε για την παραβίαση του λογισμικού παραμένει ασαφής. Αυτό που είναι γνωστό είναι ότι αυτό το λογισμικό δημιουργεί μια σύνδεση με τον διακομιστή των εισβολέων για την ανάκτηση ενός κακόβουλου ωφέλιμου φορτίου, ξεκινώντας τη διαδικασία μόλυνσης.

Αλυσίδα μόλυνσης του κακόβουλου λογισμικού Durian

Το αρχικό στάδιο χρησιμεύει ως πρόγραμμα εγκατάστασης για πρόσθετο κακόβουλο λογισμικό, καθιερώνοντας επιμονή στον κεντρικό υπολογιστή και ανοίγοντας το δρόμο για ένα κακόβουλο λογισμικό φορτωτή που τελικά εκτελεί το Durian. Το Durian, με τη σειρά του, χρησιμοποιείται για την εισαγωγή πιο κακόβουλου λογισμικού, συμπεριλαμβανομένου του προτιμώμενου backdoor της Kimsuky, του AppleSeed, ενός προσαρμοσμένου εργαλείου διακομιστή μεσολάβησης που ονομάζεται LazyLoad και νόμιμων εργαλείων όπως το ngrok και η Απομακρυσμένη επιφάνεια εργασίας Chrome.

Οι ερευνητές σημείωσαν ότι οι επιτιθέμενοι είχαν ως στόχο να κλέψουν δεδομένα αποθηκευμένα στο πρόγραμμα περιήγησης, όπως cookies και διαπιστευτήρια σύνδεσης. Μια αξιοσημείωτη πτυχή της επίθεσης ήταν η χρήση του LazyLoad, που προηγουμένως συνδέθηκε με τον Andariel, μια υποομάδα εντός του Ομίλου Lazarus, υποδηλώνοντας πιθανή συνεργασία ή επικάλυψη μεταξύ των παραγόντων απειλής.

Ο Kimsuky είναι ενεργός τουλάχιστον από το 2012 και είναι επίσης γνωστός με άλλα ονόματα όπως APT43, Black Banshee, Emerald Sleet (πρώην Thallium), Springtail, TA427 και Velvet Chollima. Η ομάδα πιστεύεται ότι λειτουργεί υπό το 63ο Ερευνητικό Κέντρο, ένα τμήμα του Γενικού Γραφείου Αναγνώρισης της Βόρειας Κορέας (RGB), της κορυφαίας υπηρεσίας στρατιωτικών πληροφοριών της χώρας.

Ο πρωταρχικός στόχος των παραγόντων του Kimsuky, όπως τονίστηκε από το FBI και την NSA των ΗΠΑ σε πρόσφατη προειδοποίηση, είναι να συλλέξουν κλεμμένα δεδομένα και πολύτιμες γεωπολιτικές γνώσεις για το καθεστώς της Βόρειας Κορέας διακυβεύοντας αναλυτές πολιτικής και άλλους ειδικούς.