Durian Malware kopplad till Kimsuky nordkoreanska hotskådespelare
Den nordkoreanska hotgruppen känd som Kimsuky har observerats använda en ny Golang-baserad skadlig programvara som heter Durian i riktade cyberattacker mot två sydkoreanska kryptovalutaföretag. Enligt säkerhetsforskare är Durian en tidigare odokumenterad skadlig programvara med avancerade bakdörrsfunktioner som gör att den kan utföra kommandon, ladda ner filer och exfiltrera data.
Attackerna inträffade i augusti och november 2023 och involverade exploatering av legitim sydkoreansk programvara för att infiltrera system, även om den specifika metoden som användes för att äventyra programvaran är fortfarande oklart. Vad som är känt är att denna programvara upprättar en anslutning till angriparnas server för att hämta en skadlig nyttolast, vilket initierar infektionsprocessen.
Infektionskedjan för Durian Malware
Det inledande skedet fungerar som ett installationsprogram för ytterligare skadlig programvara, etablerar uthållighet på värden och banar väg för en skadlig programvara för loader som i slutändan kör Durian. Durian i sin tur används för att introducera mer skadlig programvara, inklusive Kimsukys föredragna bakdörr, AppleSeed, ett anpassat proxyverktyg som heter LazyLoad, och legitima verktyg som ngrok och Chrome Remote Desktop.
Forskare noterade att angriparna syftade till att stjäla webbläsarlagrad data som cookies och inloggningsuppgifter. En anmärkningsvärd aspekt av attacken var användningen av LazyLoad, tidigare associerad med Andariel, en undergrupp inom Lazarus Group, vilket antydde potentiellt samarbete eller överlappning mellan hotaktörer.
Kimsuky har varit aktiv sedan åtminstone 2012 och är även känd under andra namn inklusive APT43, Black Banshee, Emerald Sleet (tidigare Thallium), Springtail, TA427 och Velvet Chollima. Gruppen tros verka under 63:e forskningscentret, en avdelning av Nordkoreas Reconnaissance General Bureau (RGB), landets främsta militära underrättelsetjänst.
Det primära målet för Kimsuky-aktörer, som framhävdes av amerikanska FBI och NSA i en ny varning, är att samla in stulen data och värdefulla geopolitiska insikter för den nordkoreanska regimen genom att kompromissa med policyanalytiker och andra experter.
