Durian kenkėjiška programa, susijusi su Kimsuky Šiaurės Korėjos grėsmių veikėju

Šiaurės Korėjos grėsmių grupė, žinoma kaip Kimsuky, buvo pastebėta naudojant naują Golango pagrindu sukurtą kenkėjišką programą, vadinamą Durian, vykdant tikslines kibernetines atakas prieš dvi Pietų Korėjos kriptovaliutų bendroves. Saugumo tyrinėtojų teigimu, Durian yra anksčiau nedokumentuota kenkėjiška programa, turinti pažangias užpakalinių durų galimybes, leidžiančias vykdyti komandas, atsisiųsti failus ir išfiltruoti duomenis.

Atakos įvyko 2023 m. rugpjūčio ir lapkričio mėn., jos buvo susijusios su teisėtos Pietų Korėjos programinės įrangos išnaudojimu, siekiant įsiskverbti į sistemas, nors konkretus būdas sukompromituoti programinę įrangą lieka neaiškus. Yra žinoma, kad ši programinė įranga užmezga ryšį su užpuoliko serveriu, kad gautų kenkėjišką naudingą apkrovą ir inicijuotų užkrėtimo procesą.

Durian kenkėjiškų programų infekcijos grandinė

Pradiniame etape naudojama kaip papildomos kenkėjiškos programinės įrangos diegimo programa, užtikrinanti pagrindinio kompiuterio išlikimą ir atveriant kelią kenkėjiškajai programai, kuri galiausiai paleidžia Durian. Savo ruožtu, „Durian“ yra naudojama siekiant pristatyti daugiau kenkėjiškų programų, įskaitant „Kimsuky“ pageidaujamas užpakalines duris, „AppleSeed“, pasirinktinį tarpinio serverio įrankį, pavadintą „LazyLoad“, ir teisėtus įrankius, tokius kaip „ngrok“ ir „Chrome Remote Desktop“.

Tyrėjai pažymėjo, kad užpuolikai siekė pavogti naršyklėje saugomus duomenis, pvz., slapukus ir prisijungimo duomenis. Svarbus atakos aspektas buvo LazyLoad, anksčiau sieto su Lazarus grupės pogrupiu Andariel, naudojimas, nurodantis galimą grėsmės veikėjų bendradarbiavimą arba sutapimą.

Kimsuky veikia mažiausiai nuo 2012 m. ir taip pat žinomas kitais pavadinimais, įskaitant APT43, Black Banshee, Emerald Sleet (anksčiau Tallium), Springtail, TA427 ir Velvet Chollima. Manoma, kad grupuotė veikia prie 63-iojo tyrimų centro, Šiaurės Korėjos generalinio žvalgybos biuro (RGB), svarbiausios šalies karinės žvalgybos agentūros, padalinio.

Pagrindinis Kimsuky veikėjų tikslas, kaip neseniai pabrėžė JAV FTB ir NSA, yra surinkti pavogtus duomenis ir vertingas Šiaurės Korėjos režimo geopolitines įžvalgas, kompromituojant politikos analitikus ir kitus ekspertus.