据观察,被追踪为 Kimsuky 的朝鲜威胁行为者部署了一种先前未记录的基于 Golang 的恶意软件,称为Durian,作为针对两家韩国加密货币公司的高度针对性网络攻击的一部分。
卡巴斯基在其 2024 年第一季度 APT 趋势报告中表示: “Durian 拥有全面的后门功能,能够执行已发送的命令、额外的文件下载和文件泄露。”
这些攻击发生在 2023 年 8 月和 11 月,需要使用韩国独有的合法软件作为感染途径,但目前尚不清楚用于操纵该程序的确切机制。
众所周知,该软件会建立与攻击者服务器的连接,从而导致检索恶意有效负载,从而启动感染序列。
它的第一阶段用作其他恶意软件的安装程序以及在主机上建立持久性的方法。它还为最终执行 Durian 的加载恶意软件铺平了道路。
Durian 则被用来引入更多恶意软件,包括Kimsuky 选择的主要后门AppleSeed、名为 LazyLoad 的自定义代理工具,以及 ngrok 和 Chrome Remote Desktop 等其他合法工具。
卡巴斯基表示:“最终,攻击者植入了恶意软件,窃取浏览器存储的数据,包括 cookie 和登录凭据。”
这次攻击的一个值得注意的方面是使用了 LazyLoad,该攻击此前已被 Lazarus Group 内的子集群 Andariel 使用,这增加了两个威胁行为者之间潜在合作或战术重叠的可能性。
据了解,Kimsuky 组织至少自 2012 年以来一直活跃,其恶意网络活动还包括 APT43、Black Banshee、Emerald Sleet(以前称为铊)、Springtail、TA427 和 Velvet Chollima。
它被评估为第 63 研究中心的下属单位,第 63 研究中心是隐士王国首要军事情报组织侦察总局 (RGB) 的一个单位。
美国联邦调查局(FBI)和国家安全局(NSA)在一份警报中表示:“Kimsuky 行为者的主要任务是通过损害政策分析师和其他专家的利益,向朝鲜政权提供被盗数据和宝贵的地缘政治见解。”本月初。
“成功的妥协进一步使 Kimsuky 攻击者能够制作更可信、更有效的鱼叉式网络钓鱼电子邮件,然后可以利用这些电子邮件来攻击更敏感、更高价值的目标。”
博通旗下的赛门铁克表示,这个民族国家对手还与提供基于 C# 的远程访问木马和名为TutorialRAT 的信息窃取程序的活动有关,该木马利用 Dropbox 作为“逃避威胁监控的攻击基地” 。
它补充说:“该活动似乎是 APT43 BabyShark 威胁活动的延伸,并采用了典型的鱼叉式网络钓鱼技术,包括使用快捷方式 (LNK) 文件。”
这一进展发生之际,AhnLab 安全情报中心 (ASEC) 详细介绍了另一个朝鲜国家资助的名为ScarCruft 的黑客组织策划的一项活动,该活动针对韩国用户使用 Windows 快捷方式 (LNK) 文件,最终部署RokRAT。
该敌对组织也被称为 APT37、InkySquid、RedEyes、Ricochet Chollima 和 Ruby Sleet,据称与朝鲜国家安全部 (MSS)结盟,负责收集秘密情报,以支持该国的战略军事、政治和经济利益。
ASEC表示: “最近确认的快捷方式文件 (*.LNK) 是针对韩国用户,特别是与朝鲜有关的用户。”
发表评论
您还未登录,请先登录。
登录