Durian Malware knyttet til Kimsuky nordkoreanske trusselskuespiller
Den nordkoreanske trusselgruppen kjent som Kimsuky har blitt observert ved å bruke en ny Golang-basert malware kalt Durian i målrettede cyberangrep mot to sørkoreanske kryptovalutaselskaper. I følge sikkerhetsforskere er Durian en tidligere udokumentert skadelig programvare med avanserte bakdørsfunksjoner som lar den utføre kommandoer, laste ned filer og eksfiltrere data.
Angrepene skjedde i august og november 2023 og involverte utnyttelse av legitim sørkoreansk programvare for å infiltrere systemer, selv om den spesifikke metoden som ble brukt for å kompromittere programvaren fortsatt er uklar. Det som er kjent er at denne programvaren etablerer en forbindelse til angripernes server for å hente en ondsinnet nyttelast, og initierer infeksjonsprosessen.
Infeksjonskjeden til Durian Malware
Den innledende fasen fungerer som et installeringsprogram for ytterligere skadelig programvare, og etablerer utholdenhet på verten og baner vei for en loader-malware som til slutt kjører Durian. Durian på sin side brukes til å introdusere mer skadelig programvare, inkludert Kimsukys foretrukne bakdør, AppleSeed, et tilpasset proxy-verktøy kalt LazyLoad, og legitime verktøy som ngrok og Chrome Remote Desktop.
Forskere bemerket at angriperne hadde som mål å stjele nettleserlagrede data som informasjonskapsler og påloggingsinformasjon. Et bemerkelsesverdig aspekt ved angrepet var bruken av LazyLoad, tidligere assosiert med Andariel, en undergruppe i Lazarus Group, noe som antydet potensielt samarbeid eller overlapping mellom trusselaktører.
Kimsuky har vært aktiv siden minst 2012 og er også kjent under andre navn, inkludert APT43, Black Banshee, Emerald Sleet (tidligere Thallium), Springtail, TA427 og Velvet Chollima. Gruppen antas å operere under 63rd Research Center, en avdeling av Nord-Koreas Reconnaissance General Bureau (RGB), landets fremste militære etterretningsbyrå.
Hovedmålet til Kimsuky-aktører, som fremhevet av US FBI og NSA i et nylig varsel, er å samle stjålne data og verdifull geopolitisk innsikt for det nordkoreanske regimet ved å kompromittere politiske analytikere og andre eksperter.
