Durian-malware gekoppeld aan de Noord-Koreaanse bedreigingsacteur Kimsuky
Er is waargenomen dat de Noord-Koreaanse dreigingsgroep, bekend als Kimsuky, een nieuwe op Golang gebaseerde malware genaamd Durian gebruikt bij gerichte cyberaanvallen tegen twee Zuid-Koreaanse cryptocurrency-bedrijven. Volgens beveiligingsonderzoekers is Durian een voorheen ongedocumenteerde malware met geavanceerde backdoor-mogelijkheden waardoor het opdrachten kan uitvoeren, bestanden kan downloaden en gegevens kan exfiltreren.
De aanvallen vonden plaats in augustus en november 2023 en omvatten de exploitatie van legitieme Zuid-Koreaanse software om systemen te infiltreren, hoewel de specifieke methode die wordt gebruikt om de software te compromitteren onduidelijk blijft. Wat wel bekend is, is dat deze software een verbinding tot stand brengt met de server van de aanvaller om een kwaadaardige lading op te halen, waardoor het infectieproces wordt gestart.
Infectieketen van de Durian-malware
De eerste fase dient als installatieprogramma voor aanvullende malware, waardoor persistentie op de host wordt gevestigd en de weg wordt vrijgemaakt voor een loader-malware die uiteindelijk Durian uitvoert. Durian wordt op zijn beurt gebruikt om meer kwaadaardige software te introduceren, waaronder Kimsuky's favoriete achterdeur, AppleSeed, een aangepaste proxytool genaamd LazyLoad, en legitieme tools zoals ngrok en Chrome Remote Desktop.
Onderzoekers merkten op dat de aanvallers in de browser opgeslagen gegevens, zoals cookies en inloggegevens, wilden stelen. Een opmerkelijk aspect van de aanval was het gebruik van LazyLoad, voorheen geassocieerd met Andariel, een subgroep binnen de Lazarus Group, wat duidde op mogelijke samenwerking of overlap tussen bedreigingsactoren.
Kimsuky is actief sinds minstens 2012 en is ook bekend onder andere namen, waaronder APT43, Black Banshee, Emerald Sleet (voorheen Thallium), Springtail, TA427 en Velvet Chollima. Er wordt aangenomen dat de groep opereert onder het 63rd Research Center, een divisie van het Noord-Koreaanse Reconnaissance General Bureau (RGB), de belangrijkste militaire inlichtingendienst van het land.
Het primaire doel van Kimsuky-actoren, zoals benadrukt door de Amerikaanse FBI en NSA in een recente waarschuwing, is het verzamelen van gestolen gegevens en waardevolle geopolitieke inzichten voor het Noord-Koreaanse regime door beleidsanalisten en andere experts in gevaar te brengen.
