Durian 恶意软件与朝鲜威胁行为者 Kimsuky 有关

据观察，朝鲜威胁组织 Kimsuky 使用一种名为 Durian 的新型 Golang 恶意软件对两家韩国加密货币公司进行有针对性的网络攻击。据安全研究人员称，Durian 是一种之前未记录的恶意软件，具有高级后门功能，可执行命令、下载文件和窃取数据。

攻击发生在 2023 年 8 月和 11 月，涉及利用合法的韩国软件入侵系统，尽管破坏软件的具体方法仍不清楚。已知的是，该软件与攻击者的服务器建立连接以检索恶意负载，从而启动感染过程。

Durian 恶意软件的感染链

初始阶段充当其他恶意软件的安装程序，在主机上建立持久性并为最终执行 Durian 的加载器恶意软件铺平道路。反过来，Durian 被用来引入更多恶意软件，包括 Kimsuky 首选的后门 AppleSeed、名为 LazyLoad 的自定义代理工具以及 ngrok 和 Chrome 远程桌面等合法工具。

研究人员指出，攻击者的目的是窃取浏览器存储的数据，例如 cookie 和登录凭据。此次攻击的一个值得注意的方面是使用了 LazyLoad，该工具之前与 Lazarus Group 的一个分支 Andariel 有关，这表明威胁行为者之间可能存在合作或重叠。

Kimsuky 至少从 2012 年开始活跃，其他名称包括 APT43、Black Banshee、Emerald Sleet（以前称为 Thallium）、Springtail、TA427 和 Velvet Chollima。据信该组织隶属于第 63 研究中心，该研究中心是朝鲜最高军事情报机构侦察总局 (RGB) 的一个部门。

美国联邦调查局和国家安全局在最近的警报中强调，Kimsuky 攻击者的主要目标是通过危害政策分析师和其他专家来收集被盗数据和宝贵的地缘政治见解，以用于朝鲜政权。