Malware Durian collegato all'attore nordcoreano Kimsuky
Il gruppo nordcoreano noto come Kimsuky è stato osservato utilizzare un nuovo malware basato su Golang chiamato Durian in attacchi informatici mirati contro due società di criptovaluta sudcoreane. Secondo i ricercatori sulla sicurezza, Durian è un malware precedentemente non documentato con funzionalità backdoor avanzate che gli consentono di eseguire comandi, scaricare file ed esfiltrare dati.
Gli attacchi si sono verificati nell’agosto e nel novembre del 2023 e hanno comportato lo sfruttamento di software legittimo sudcoreano per infiltrarsi nei sistemi, sebbene il metodo specifico utilizzato per compromettere il software rimanga poco chiaro. Ciò che è noto è che questo software stabilisce una connessione con il server degli aggressori per recuperare un payload dannoso, avviando il processo di infezione.
Catena di infezione del malware Durian
La fase iniziale funge da programma di installazione per malware aggiuntivo, stabilendo la persistenza sull'host e aprendo la strada a un caricatore di malware che alla fine esegue Durian. Durian, a sua volta, viene utilizzato per introdurre altri software dannosi, tra cui la backdoor preferita di Kimsuky, AppleSeed, uno strumento proxy personalizzato denominato LazyLoad e strumenti legittimi come ngrok e Chrome Remote Desktop.
I ricercatori hanno notato che gli aggressori miravano a rubare dati memorizzati nel browser come cookie e credenziali di accesso. Un aspetto degno di nota dell’attacco è stato l’uso di LazyLoad, precedentemente associato ad Andariel, un sottogruppo all’interno del Lazarus Group, suggerendo una potenziale collaborazione o sovrapposizione tra gli autori delle minacce.
Kimsuky è attivo almeno dal 2012 ed è conosciuto anche con altri nomi tra cui APT43, Black Banshee, Emerald Sleet (ex Thallium), Springtail, TA427 e Velvet Chollima. Si ritiene che il gruppo operi sotto il 63° Centro di ricerca, una divisione del Reconnaissance General Bureau (RGB) della Corea del Nord, la principale agenzia di intelligence militare del paese.
L’obiettivo principale degli autori di Kimsuky, come evidenziato dall’FBI e dalla NSA statunitensi in un recente allarme, è quello di raccogliere dati rubati e preziose informazioni geopolitiche per il regime nordcoreano compromettendo analisti politici e altri esperti.
