榴槤惡意軟體與 Kimsuky 北韓威脅行為者有關

據觀察，名為 Kimsuky 的北韓威脅組織使用一種名為 Durian 的新型基於 Golang 的惡意軟體對兩家韓國加密貨幣公司進行有針對性的網路攻擊。據安全研究人員稱，Durian 是一種以前未記錄的惡意軟體，具有先進的後門功能，允許其執行命令、下載檔案和竊取資料。

這些攻擊發生在 2023 年 8 月和 11 月，涉及利用合法的韓國軟體滲透系統，但用於破壞該軟體的具體方法仍不清楚。眾所周知，該軟體會與攻擊者的伺服器建立連線以檢索惡意負載，從而啟動感染過程。

榴槤惡意軟體的感染鏈

初始階段充當其他惡意軟體的安裝程序，在主機上建立持久性，並為最終執行 Durian 的載入惡意軟體鋪平道路。 Durian 反過來又被用來引入更多惡意軟體，包括 Kimsuky 首選的後門 AppleSeed、名為 LazyLoad 的自訂代理工具以及 ngrok 和 Chrome Remote Desktop 等合法工具。

研究人員指出，攻擊者的目的是竊取瀏覽器儲存的數據，例如 cookie 和登入憑證。這次攻擊的一個值得注意的方面是使用了 LazyLoad（先前與 Lazarus 組織內的一個子組織 Andariel 相關），這表明威脅行為者之間存在潛在的合作或重疊。

Kimsuky 至少從 2012 年開始活躍，也以其他名稱為人所知，包括 APT43、Black Banshee、Emerald Sleet（以前稱為鉈）、Springtail、TA427 和 Velvet Chollima。據信該組織隸屬於北韓最高軍事情報機構－偵察總局（RGB）的第 63 研究中心。

正如美國聯邦調查局和美國國家安全局在最近的警報中所強調的那樣，Kimsuky 行為者的主要目標是透過損害政策分析師和其他專家的利益，為北韓政權收集被盜數據和寶貴的地緣政治見解。