Złośliwe oprogramowanie Durian powiązane z północnokoreańskim podmiotem zagrażającym Kimsuky
Zaobserwowano, że północnokoreańska grupa zagrożeń znana jako Kimsuky wykorzystuje nowe złośliwe oprogramowanie o nazwie Durian oparte na Golang w ukierunkowanych cyberatakach na dwie południowokoreańskie firmy zajmujące się kryptowalutami. Według badaczy bezpieczeństwa Durian to wcześniej nieudokumentowane złośliwe oprogramowanie z zaawansowanymi możliwościami backdoora, umożliwiającymi wykonywanie poleceń, pobieranie plików i eksfiltrację danych.
Ataki miały miejsce w sierpniu i listopadzie 2023 r. i polegały na wykorzystaniu legalnego południowokoreańskiego oprogramowania w celu infiltracji systemów, chociaż konkretna metoda zastosowana do złamania zabezpieczeń oprogramowania pozostaje niejasna. Wiadomo, że oprogramowanie to nawiązuje połączenie z serwerem atakujących w celu pobrania szkodliwego ładunku, inicjując proces infekcji.
Łańcuch infekcji złośliwego oprogramowania Durian
Początkowy etap służy jako instalator dodatkowego złośliwego oprogramowania, ustanawiając trwałość na hoście i torując drogę dla szkodliwego oprogramowania ładującego, które ostatecznie uruchamia Duriana. Durian z kolei służy do wprowadzania większej liczby złośliwego oprogramowania, w tym preferowanego przez Kimsuky backdoora, AppleSeed, niestandardowego narzędzia proxy o nazwie LazyLoad oraz legalnych narzędzi, takich jak ngrok i Pulpit zdalny Chrome.
Badacze zauważyli, że celem atakujących było kradzież danych przechowywanych w przeglądarce, takich jak pliki cookie i dane logowania. Godnym uwagi aspektem ataku było wykorzystanie narzędzia LazyLoad, wcześniej powiązanego z Andariel, podgrupą w ramach Grupy Lazarus, co sugerowało potencjalną współpracę lub nakładanie się podmiotów zagrażających.
Kimsuky działa co najmniej od 2012 roku i jest również znany pod innymi nazwami, w tym APT43, Black Banshee, Emerald Sleet (dawniej Thallium), Springtail, TA427 i Velvet Chollima. Uważa się, że grupa działa w ramach 63. Centrum Badawczego, oddziału północnokoreańskiego Generalnego Biura Rozpoznania (RGB), najważniejszej agencji wywiadu wojskowego w kraju.
Głównym celem podmiotów Kimsuky, jak podkreśliło amerykańskie FBI i NSA w niedawnym ostrzeżeniu, jest zebranie skradzionych danych i cennych spostrzeżeń geopolitycznych dla reżimu Korei Północnej w drodze kompromitacji analityków politycznych i innych ekspertów.
