Вредоносное ПО Durian связано с северокорейским злоумышленником Кимсуки

Северокорейская группа угроз, известная как Kimsuky, использовала новое вредоносное ПО на базе Golang под названием Durian в целенаправленных кибератаках на две южнокорейские криптовалютные компании. По мнению исследователей безопасности, Durian — это ранее недокументированное вредоносное ПО с расширенными возможностями бэкдора, позволяющими ему выполнять команды, загружать файлы и извлекать данные.

Атаки произошли в августе и ноябре 2023 года и включали использование законного южнокорейского программного обеспечения для проникновения в системы, хотя конкретный метод компрометации программного обеспечения остается неясным. Известно лишь то, что это программное обеспечение устанавливает соединение с сервером злоумышленников для получения вредоносной полезной нагрузки, инициируя процесс заражения.

Цепочка заражения вредоносным ПО Durian

Начальный этап служит установщиком дополнительных вредоносных программ, устанавливая постоянство на хосте и прокладывая путь для вредоносного ПО-загрузчика, которое в конечном итоге запускает Durian. Дуриан, в свою очередь, используется для распространения большего количества вредоносного программного обеспечения, включая любимый бэкдор Кимсуки, AppleSeed, специальный прокси-инструмент под названием LazyLoad, а также законные инструменты, такие как ngrok и Chrome Remote Desktop.

Исследователи отметили, что злоумышленники стремились украсть данные, хранящиеся в браузере, такие как файлы cookie и учетные данные для входа. Примечательным аспектом атаки было использование LazyLoad, ранее связанной с Andariel, подгруппой внутри Lazarus Group, что предполагает потенциальное сотрудничество или дублирование между субъектами угрозы.

Кимсуки активен как минимум с 2012 года и также известен под другими именами, включая APT43, Black Banshee, Emerald Sleet (ранее Thallium), Springtail, TA427 и Velvet Chollima. Предполагается, что группа действует в составе 63-го исследовательского центра, подразделения Главного разведывательного управления Северной Кореи (РГБ), ведущего агентства военной разведки страны.

Основная цель участников Кимсуки, как подчеркнули ФБР и АНБ США в недавнем сообщении, заключается в сборе украденных данных и ценной геополитической информации для северокорейского режима путем компрометации политических аналитиков и других экспертов.