Durian Malware Kimsuky észak-koreai fenyegetőzőhöz kapcsolódik
A Kimsuky néven ismert észak-koreai fenyegetéscsoportot egy új, Golang-alapú, Durian nevű rosszindulatú szoftverrel figyelték meg célzott kibertámadásokban két dél-koreai kriptovaluta-cég ellen. Biztonsági kutatók szerint a Durian egy korábban nem dokumentált rosszindulatú program, amely fejlett backdoor képességekkel rendelkezik, amelyek lehetővé teszik parancsok végrehajtását, fájlok letöltését és adatok kiszűrését.
A támadások 2023 augusztusában és novemberében történtek, és törvényes dél-koreai szoftvereket használtak a rendszerekbe való beszivárgás céljából, bár a szoftver kompromittálására használt konkrét módszer továbbra sem világos. Ismeretes, hogy ez a szoftver kapcsolatot létesít a támadók szerverével, hogy lekérjen egy rosszindulatú rakományt, elindítva ezzel a fertőzési folyamatot.
A Durian kártevő fertőzési lánca
A kezdeti szakasz további rosszindulatú programok telepítőjeként szolgál, állandóságot biztosít a gazdagépen, és előkészíti az utat a betöltő rosszindulatú programnak, amely végül végrehajtja a Durian-t. A Durian viszont több rosszindulatú szoftver bevezetésére szolgál, beleértve a Kimsuky által előnyben részesített hátsó ajtót, az AppleSeed-et, a LazyLoad nevű egyéni proxyeszközt, valamint olyan legitim eszközöket, mint az ngrok és a Chrome Remote Desktop.
A kutatók megjegyezték, hogy a támadók célja a böngészőben tárolt adatok, például cookie-k és bejelentkezési adatok ellopása volt. A támadás egyik figyelemre méltó aspektusa a LazyLoad használata volt, amely korábban az Andarielhez, a Lazarus Group egyik alcsoportjához kapcsolódott, ami potenciális együttműködésre vagy átfedésre utalt a fenyegető szereplők között.
Kimsuky legalább 2012 óta aktív, és más néven is ismert, például APT43, Black Banshee, Emerald Sleet (korábban Thallium), Springtail, TA427 és Velvet Chollima. A csoport vélhetően a 63. Kutatóközpont, az észak-koreai Reconnaissance General Bureau (RGB), az ország vezető katonai hírszerző ügynökségének egy részlege alatt működik.
A Kimsuky szereplőinek elsődleges célja, amint azt az amerikai FBI és az NSA egy közelmúltbeli riasztásában kiemelte, hogy ellopott adatokat és értékes geopolitikai ismereteket gyűjtsenek az észak-koreai rezsim számára politikai elemzők és más szakértők kompromittálásával.
