ドリアンマルウェアは北朝鮮の脅威アクター Kimsuky と関連している

Kimsuky として知られる北朝鮮の脅威グループが、韓国の暗号通貨企業 2 社に対する標的型サイバー攻撃で、Durian と呼ばれる新しい Golang ベースのマルウェアを使用していることが確認されています。セキュリティ研究者によると、Durian はこれまで文書化されていなかったマルウェアで、高度なバックドア機能を備えており、コマンドの実行、ファイルのダウンロード、データの窃取が可能です。

攻撃は2023年8月と11月に発生し、韓国の正規ソフトウェアを悪用してシステムに侵入したが、ソフトウェアを侵害するために使用された具体的な方法は不明である。わかっているのは、このソフトウェアが攻撃者のサーバーに接続して悪意のあるペイロードを取得し、感染プロセスを開始するということである。

ドリアンマルウェアの感染チェーン

最初の段階では、追加のマルウェアのインストーラーとして機能し、ホスト上での永続性を確立し、最終的に Durian を実行するローダー マルウェアへの道を開きます。次に Durian は、Kimsuky が好むバックドアである AppleSeed、LazyLoad というカスタム プロキシ ツール、ngrok や Chrome リモート デスクトップなどの正規のツールなど、さらに多くの悪意のあるソフトウェアを導入するために使用されます。

研究者らは、攻撃者の狙いはクッキーやログイン認証情報などブラウザに保存されたデータの盗難にあったと指摘している。攻撃の注目すべき点は、以前は Lazarus Group のサブグループである Andariel と関連付けられていた LazyLoad の使用であり、脅威アクター間の潜在的な協力関係または重複を示唆している。

Kimsuky は少なくとも 2012 年から活動しており、APT43、Black Banshee、Emerald Sleet (旧 Thallium)、Springtail、TA427、Velvet Chollima などの別名でも知られている。このグループは、北朝鮮の最高軍事情報機関である偵察総局 (RGB) の一部門である 63 研究センターの傘下で活動していると考えられている。

米国のFBIとNSAが最近の警告で強調したように、キムスキー攻撃者の主な目的は、政策アナリストやその他の専門家を危険にさらすことで、北朝鮮政権のために盗まれたデータや貴重な地政学的洞察を集めることである。