Backdoor 'GoBear' của tin tặc Triều Tiên nhắm mục tiêu vào Hàn Quốc


 Tin Tặc có liên hệ với Bắc Triều Tiên được gọi là Kimsuky bị nghi ngờ sử dụng một kẻ đánh cắp thông tin có trụ sở tại Golang trước đây không có giấy tờ có tên là Troll Stealer.

Phần mềm độc hại đánh cắp "các tệp / thư mục ổ đĩa SSH, FileZilla, C, trình duyệt, thông tin hệ thống, [và] ảnh chụp màn hình" từ các hệ thống bị nhiễm, công ty an ninh mạng Hàn Quốc S2W cho biết trong một báo cáo kỹ thuật mới.

Các liên kết của Troll Stealer với Kimsuky xuất phát từ những điểm tương đồng của nó với các họ phần mềm độc hại đã biết, chẳng hạn như phần mềm độc hại AppleSeed và AlphaSeed đã được quy cho nhóm.

Kimsuky, cũng được theo dõi dưới tên APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (trước đây là Thallium), Nickel Kimball và Velvet Chollima, nổi tiếng với xu hướng đánh cắp thông tin nhạy cảm, bí mật trong các hoạt động tấn công mạng.

Vào cuối tháng 11/2023, các tác nhân đe dọa đã bị Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Mỹ trừng phạt vì thu thập thông tin tình báo để tiếp tục các mục tiêu chiến lược của Triều Tiên.

Tập thể đối thủ, trong những tháng gần đây, đã được quy cho các cuộc tấn công lừa đảo nhắm vào các thực thể Hàn Quốc để cung cấp nhiều cửa hậu, bao gồm AppleSeed và AlphaSeed.

Phân tích mới nhất của S2W cho thấy việc sử dụng một ống nhỏ giọt giả mạo như một tệp cài đặt chương trình bảo mật từ một công ty Hàn Quốc có tên SGA Solutions để khởi chạy kẻ đánh cắp, lấy tên từ đường dẫn "D: / ~ / repo / golang / src / root.go / s / troll / agent" được nhúng trong đó.

"Trình nhỏ giọt chạy như một trình cài đặt hợp pháp cùng với phần mềm độc hại và cả trình nhỏ giọt và phần mềm độc hại đều được ký với chứng chỉ D2Innovation Co., LTD hợp lệ, cho thấy chứng chỉ của công ty thực sự đã bị đánh cắp", công ty cho biết.

Một tính năng nổi bật của Troll Stealer là khả năng đánh cắp chứng chỉ GPKI do chính phủ Hàn Quốc cấp từ các hệ thống bị nhiễm, cho thấy phần mềm độc hại có thể được sử dụng trong các cuộc tấn công nhắm vào các tổ chức hành chính và công cộng trong nước.

Cũng có những dấu hiệu cho thấy tác nhân đe dọa có thể liên quan đến một backdoor dựa trên Go có tên mã GoBear cũng được ký với chứng chỉ hợp pháp liên quan đến D2Innovation Co., LTD và thực hiện các hướng dẫn nhận được từ máy chủ chỉ huy và kiểm soát (C2).

"Các chuỗi chứa trong tên của các hàm mà nó gọi đã được tìm thấy trùng lặp với các lệnh được sử dụng bởi BetaSeed, một phần mềm độc hại backdoor dựa trên C ++ được sử dụng bởi nhóm Kimuky", S2W cho biết. "Đáng chú ý là GoBear bổ sung chức năng proxy SOCKS5, trước đây không được hỗ trợ bởi phần mềm độc hại cửa hậu của nhóm Kimsuky."

Mới hơn Cũ hơn