Durian-Malware

Die nordkoreanische Bedrohungsgruppe Kimsuky hat kürzlich eine neue Golang-basierte Malware namens Durian in spezifischen Cyberoperationen eingesetzt, die auf zwei südkoreanische Kryptowährungsunternehmen abzielten. Durian ist eine fortschrittliche Malware mit umfangreichen Backdoor-Funktionen, die es ihr ermöglicht, Befehle auszuführen, Dateien herunterzuladen und Daten von kompromittierten Systemen zu sammeln.

Infektionsvektor für die Verbreitung der Durian-Malware

Die Vorfälle ereigneten sich im August und November 2023 und beinhalteten die Ausnutzung legitimer Software, die ausschließlich in Südkorea verwendet wird, als Infektionsmethode. Die spezifische Methode, mit der diese Software ausgenutzt wurde, ist von den Forschern noch nicht vollständig aufgedeckt worden.

Man geht davon aus, dass diese Software eine Kommunikation mit dem Server des Angreifers herstellt, der dann eine unsichere Nutzlast abruft, um den Infektionsprozess einzuleiten. Die erste Phase fungiert als Installationsprogramm für weitere Malware und sorgt für Persistenz auf dem betroffenen Host. Sie erleichtert auch die Bereitstellung einer Loader-Malware, die letztendlich die Ausführung von Durian auslöst.

Angreifer nutzen neben Durian noch weitere Schadsoftware

Die Angreifer nutzen Durian, um zusätzliche Malware zu verbreiten, darunter AppleSeed (Kimsukys bevorzugte Hintertür), ein benutzerdefiniertes Proxy-Tool namens LazyLoad sowie legitime Tools wie ngrok und Chrome Remote Desktop. Ziel war es, im Browser gespeicherte Daten wie Cookies und Anmeldeinformationen zu stehlen.

Ein interessanter Punkt bei dem Angriff ist die Nutzung von LazyLoad, das zuvor mit Andariel in Verbindung gebracht wurde, einer Untergruppe der Lazarus-Gruppe . Dies deutet auf eine mögliche Zusammenarbeit oder taktische Abstimmung zwischen diesen Bedrohungsakteuren hin.

Kimsuky bleibt ein wichtiger Akteur in der Cybercrime-Szene

Die Kimsuky-Gruppe, die seit mindestens 2012 aktiv ist, ist auch unter verschiedenen Decknamen bekannt, darunter APT43, Black Banshee, Emerald Sleet (früher Thallium), Springtail, TA427 und Velvet Chollima. Es wird angenommen, dass sie unter dem 63. Forschungszentrum operiert, einer Abteilung des Reconnaissance General Bureau (RGB), Nordkoreas wichtigster militärischer Geheimdienstorganisation.

Laut einer gemeinsamen Warnung des US-amerikanischen Federal Bureau of Investigation (FBI) und der National Security Agency (NSA) besteht Kimsukys Hauptziel darin, dem nordkoreanischen Regime gestohlene Daten und geopolitische Erkenntnisse zur Verfügung zu stellen. Dies erreichen sie, indem sie politische Analysten und Experten kompromittieren. Erfolgreiche Kompromittierungen ermöglichen es den Kimsuky-Akteuren, überzeugendere Spear-Phishing-E-Mails zu entwickeln, um höherrangige Personen anzusprechen.

Kimsuky wurde auch mit Kampagnen in Verbindung gebracht, die einen C#-basierten Remote-Access-Trojaner und Informationssammler namens TutorialRAT betrafen. Diese Malware nutzt Dropbox als Plattform für Angriffe, um der Bedrohungserkennung zu entgehen. Diese Kampagne, die an die BabyShark -Bedrohungskampagne von APT43 erinnert, verwendet gängige Spear-Phishing-Techniken, darunter die Verwendung von Verknüpfungsdateien (LNK).