Troll Stealer
Es wird angenommen, dass der mit Nordkorea in Verbindung stehende nationalstaatliche Akteur Kimsuky eine neu identifizierte Malware zum Informationsdiebstahl eingesetzt hat, den Troll Stealer, der auf der Programmiersprache Golang basiert. Diese bedrohliche Software wurde entwickelt, um verschiedene Arten sensibler Daten, darunter SSH-Anmeldeinformationen, FileZilla-Informationen, Dateien und Verzeichnisse vom Laufwerk C, Browserdaten, Systemdetails und Screenshots, aus kompromittierten Systemen zu extrahieren.
Die Verbindung von Troll Stealer zu Kimsuky wird aus der Ähnlichkeit mit bekannten Malware-Familien wie AppleSeed und AlphaSeed abgeleitet, die beide zuvor mit derselben Gruppe von Bedrohungsakteuren in Verbindung gebracht wurden.
Inhaltsverzeichnis
Kimsuky ist eine aktive APT-Gruppe (Advanced Persistent Threat).
Kimsuky, auch bekannt als APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (ehemals Thallium), Nickel Kimball und Velvet Chollima, ist für seine Neigung zu offensiven Cyberoperationen bekannt, die auf den Diebstahl sensibler und vertraulicher Informationen abzielen.
Im November 2023 verhängte das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums Sanktionen gegen diese Bedrohungsakteure wegen ihrer Rolle bei der Sammlung von Informationen zur Förderung der strategischen Ziele Nordkoreas.
Diese gegnerische Gruppe wurde auch mit Spear-Phishing-Angriffen in Verbindung gebracht, die sich gegen südkoreanische Unternehmen richteten und dabei verschiedene Hintertüren nutzten, darunter AppleSeed und AlphaSeed.
Die Angriffsoperation mit der Troll-Stealer-Malware
Eine von Cybersicherheitsforschern durchgeführte Untersuchung hat den Einsatz eines Droppers ergeben, der die Aufgabe hat, die nachfolgende Stealer-Bedrohung auszulösen. Der Dropper tarnt sich als Installationsdatei für ein Sicherheitsprogramm, das angeblich von einer südkoreanischen Firma namens SGA Solutions stammt. Der Name des Stealers basiert auf dem darin eingebetteten Pfad „D:/~/repo/golang/src/root.go/s/troll/agent“.
Den Erkenntnissen von Informationssicherheitsexperten zufolge fungiert der Dropper als legitimer Installer in Verbindung mit der Malware. Sowohl der Dropper als auch die Malware tragen die Signatur eines gültigen Zertifikats von D2Innovation Co., LTD, was auf einen möglichen Diebstahl des Unternehmenszertifikats hinweist.
Ein bemerkenswertes Merkmal des Troll Stealer ist seine Fähigkeit, den GPKI-Ordner auf kompromittierten Systemen zu stehlen, was darauf hindeutet, dass die Malware wahrscheinlich bei Angriffen eingesetzt wurde, die sich gegen Verwaltungs- und öffentliche Organisationen im Land richteten.
Kimsiky entwickelt möglicherweise seine Taktik weiter und bedroht Arsenal
Angesichts des Fehlens dokumentierter Kimsuky-Kampagnen, bei denen es um den Diebstahl von GPKI-Ordnern ging, gibt es Spekulationen, dass das beobachtete neue Verhalten auf eine Änderung der Taktik oder der Handlungen eines anderen Bedrohungsakteurs hinweisen könnte, der eng mit der Gruppe verbunden ist und möglicherweise Zugriff auf den Quellcode besitzt von AppleSeed und AlphaSeed.
Es gibt auch Hinweise darauf, dass der Bedrohungsakteur möglicherweise an einer Go-basierten Hintertür namens GoBear beteiligt ist. Diese Hintertür ist mit einem legitimen Zertifikat signiert, das mit D2Innovation Co., LTD verknüpft ist, und folgt den Anweisungen eines Command-and-Control-Servers (C2).
Darüber hinaus überschneiden sich die Funktionsnamen im Code von GoBear mit Befehlen, die von BetaSeed verwendet werden, einer C++-basierten Backdoor-Malware der Kimsuky-Gruppe. Insbesondere führt GoBear die SOCKS5-Proxy-Funktionalität ein, eine Funktion, die bisher in der Backdoor-Malware der Kimsuky-Gruppe nicht vorhanden war.
