Kimsuky'nin Yeni Golang Stealer'ı 'Troll' ve 'GoBear' Arka Kapı Güney Kore'yi Hedef Alıyor
Kimsuky olarak bilinen Kuzey Kore bağlantılı ulus devlet aktörünün, Troll Stealer adlı daha önce belgelenmemiş Golang merkezli bir bilgi hırsızı kullandığından şüpheleniliyor.
Güney Koreli siber güvenlik şirketi S2W, yeni bir teknik raporda, kötü amaçlı yazılımın virüslü sistemlerden "SSH, FileZilla, C sürücü dosyalarını/dizinlerini, tarayıcıları, sistem bilgilerini [ve] ekran görüntülerini" çaldığını söyledi.
Troll Stealer'ın Kimsuky ile olan bağlantıları, gruba atfedilen AppleSeed ve AlphaSeed kötü amaçlı yazılımları gibi bilinen kötü amaçlı yazılım aileleriyle benzerliklerinden kaynaklanmaktadır.
APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (önceden Thallium), Nickel Kimball ve Velvet Chollima isimleri altında da izlenen Kimsuky, saldırgan siber operasyonlarda hassas, gizli bilgileri çalma eğilimi ile tanınır.
Kasım 2023'ün sonlarında, tehdit aktörleri, Kuzey Kore'nin stratejik hedeflerini ilerletmek için istihbarat topladıkları için ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından yaptırıma tabi tutuldu.
Düşman kolektif, son aylarda, AppleSeed ve AlphaSeed dahil olmak üzere çeşitli arka kapılar sunmak için Güney Koreli kuruluşları hedef alan hedef odaklı kimlik avı saldırılarına atfedildi.
S2W'nin en son analizi, adını "D:/~/repo/golang/src/root.go/s/troll/agent" yolundan alan hırsızı başlatmak için SGA Solutions adlı Güney Koreli bir şirketten bir güvenlik programı kurulum dosyası gibi görünen bir damlalığın kullanıldığını ortaya koyuyor.
Şirket, "Damlalık, kötü amaçlı yazılımın yanında meşru bir yükleyici olarak çalışıyor ve hem damlalık hem de kötü amaçlı yazılım, şirketin sertifikasının gerçekten çalındığını düşündüren geçerli, meşru bir D2Innovation Co., LTD' sertifikasıyla imzalandı" dedi.
Troll Stealer'ın göze çarpan bir özelliği, Güney Kore hükümeti tarafından verilen GPKI sertifikalarını virüslü sistemlerden çalma yeteneğidir, bu da kötü amaçlı yazılımın ülkedeki idari ve kamu kuruluşlarını hedef alan saldırılarda kullanılabileceğini gösterir.
GPKI klasörlerinin çalındığını belgeleyen Kimsuky kampanyalarının yokluğu göz önüne alındığında, yeni davranışın ya taktiklerde bir değişiklik ya da AppleSeed ve AlphaSeed'in kaynak koduna erişimi olan grupla yakından ilişkili başka bir tehdit aktörünün işi olma olasılığını artırdı.
Tehdit aktörünün, D2Innovation Co., LTD ile ilişkili meşru bir sertifikayla imzalanmış ve bir komuta ve kontrol (C2) sunucusundan alınan talimatları yürüten GoBear kod adlı Go tabanlı bir arka kapıya dahil olabileceğine dair işaretler de var.
S2W, "Çağırdığı işlevlerin adlarında yer alan dizelerin, Kimsuky grubu tarafından kullanılan C++ tabanlı bir arka kapı kötü amaçlı yazılımı olan BetaSeed tarafından kullanılan komutlarla örtüştüğü bulundu" dedi. "GoBear'ın, daha önce Kimsuky grubunun arka kapı kötü amaçlı yazılımı tarafından desteklenmeyen SOCKS5 proxy işlevselliğini eklemesi dikkat çekicidir."
Güncelleştirmek
AhnLab Güvenlik İstihbarat Merkezi (ASEC), 23 Şubat 2024'te yayınlanan teknik bir raporda, S2W'nin yukarıda belirtilen bulgularını doğruladı ve "kullanıcılar Koreli inşaatla ilgili bir derneğin web sitesinden güvenlik programları indirmeye çalıştığında sistemlere kötü amaçlı yazılım türlerinin indirildiğini" belirtti.
ASEC, Troll Stealer'ı TrollAgent adı altında takip ediyor. Saldırı, web sitesinin hizmetlerini kullanmak için oturum açmanın gerekli olduğu ve web sitesine giriş yapmak için çeşitli güvenlik programlarının yüklenmesinin bir ön koşul olduğu gerçeğinden yararlanır.
Troll Stealer ve GoBear arka kapısının konuşlandırılmasıyla sonuçlanan değiştirilmiş yükleyici, web sitesine yalnızca belirli zaman dilimlerinde yüklendiği söylenen NX_PRNMAN. ASEC, 3.000'den fazla enfeksiyon vakası tespit etti.
ESET tarafından açıklandığı üzere, daha önce Kasım 2020'de Lazarus Group tarafından bir yazılım tedarik zinciri saldırısına maruz kalan WIZVERA VeraPort, güvenlik yazılımları arasında da yer alıyor.
Kimsuky ayrıca, her ikisi de hassas bilgileri toplamak ve hırsızlar gibi ek kötü amaçlı yazılımlar dağıtmak için tasarlanmış AppleSeed ve Golang varyantı AlphaSeed'i yayan başka bir hedefli kimlik avı dalgasıyla ilişkilendirildi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı