O ator de ameaça norte-coreano rastreado como Kimsuky foi observado implantando um malware baseado em Golang, anteriormente não documentado, apelidado Durião como parte de ataques cibernéticos altamente direcionados contra duas empresas sul-coreanas de criptomoeda.
“Durian possui funcionalidade backdoor abrangente, permitindo a execução de comandos entregues, downloads de arquivos adicionais e exfiltração de arquivos”, disse a Kaspersky em seu relatório de tendências de APT para o primeiro trimestre de 2024.
Os ataques, que ocorreram em Agosto e Novembro de 2023, implicaram a utilização de software program legítimo exclusivo da Coreia do Sul como by way of de infecção, embora o mecanismo preciso utilizado para manipular o programa não seja actualmente claro.
O que se sabe é que o software program estabelece uma conexão com o servidor do invasor, levando à recuperação de uma carga maliciosa que inicia a sequência de infecção.
O primeiro estágio serve como instalador de malware adicional e um meio de estabelecer persistência no host. Ele também abre caminho para um malware carregador que eventualmente executa o Durian.
Durian, por sua vez, é empregado para introduzir mais malware, incluindo AppleSeed, o backdoor básico preferido de Kimsuky, uma ferramenta de proxy personalizada conhecida como LazyLoad, bem como outras ferramentas legítimas como ngrok e Chrome Distant Desktop.
“No remaining das contas, o ator implantou o malware para roubar dados armazenados no navegador, incluindo cookies e credenciais de login”, disse Kaspersky.
Um aspecto notável do ataque é o uso do LazyLoad, que foi anteriormente utilizado por Andariel, um subcluster dentro do Grupo Lazarus, levantando a possibilidade de uma potencial colaboração ou sobreposição tática entre os dois atores da ameaça.
O grupo Kimsuky é conhecido por estar ativo pelo menos desde 2012, com suas atividades cibernéticas maliciosas também APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 e Velvet Chollima.
É avaliado como um elemento subordinado ao 63º Centro de Pesquisa, um elemento do Reconnaissance Basic Bureau (RGB), a principal organização de inteligência militar do reino eremita.
“A principal missão dos atores Kimsuky é fornecer dados roubados e informações geopolíticas valiosas ao regime norte-coreano, comprometendo analistas políticos e outros especialistas”, afirmaram o Federal Bureau of Investigation (FBI) dos EUA e a Agência de Segurança Nacional (NSA) num alerta. no início deste mês.
“Compromissos bem-sucedidos permitem ainda que os atores do Kimsuky criem e-mails de spear-phishing mais confiáveis e eficazes, que podem então ser aproveitados contra alvos mais sensíveis e de maior valor”.
O adversário do estado-nação também tem sido vinculado a campanhas que entregam um trojan de acesso remoto baseado em C # e ladrão de informações chamado TutorialRAT, que utiliza o Dropbox como uma “base para seus ataques para evitar o monitoramento de ameaças”, disse a Symantec, de propriedade da Broadcom.
“Esta campanha parece ser uma extensão da campanha de ameaças BabyShark do APT43 e emprega técnicas típicas de spear-phishing, incluindo o uso de arquivos de atalho (LNK)”, acrescentou.
O desenvolvimento ocorre no momento em que o AhnLab Safety Intelligence Middle (ASEC) detalha uma campanha orquestrada por outro grupo de hackers patrocinado pelo estado norte-coreano, chamado ScarCruft, que tem como alvo usuários sul-coreanos com arquivos de atalho do Home windows (LNK) que culminam na implantação do RokRAT.
O coletivo adversário, também conhecido como APT37, InkySquid, RedEyes, Ricochet Chollima e Ruby Sleet, estaria alinhado com o Ministério de Segurança do Estado (MSS) da Coreia do Norte e encarregado de coletar informações secretas em apoio às estratégias militares, políticas e estratégicas do país. e interesses econômicos.
“Os arquivos de atalho recentemente confirmados (*.LNK) têm como alvo usuários sul-coreanos, particularmente aqueles relacionados à Coreia do Norte”, disse ASEC.
