根据近期观察,朝鲜威胁组织-Kimsuky部署了一种先前未记录的基于Golang的恶意软件,称为Durian,作为针对两家韩国加密货币公司的高度针对性网络攻击的一部分。
卡巴斯基在其2024年第一季度APT趋势报告中表示:“Durian 拥有全面的后门功能,能够执行传递的命令、下载额外的文件以及泄露文件。”
这些攻击发生在2023年8月和11月,使用了韩国专有的合法软件作为感染途径,尽管目前尚不清楚操纵该程序的确切机制。
已知的是,该软件与攻击者的服务器建立连接,导致检索恶意有效载荷,从而启动感染序列。
第一阶段作为附加恶意软件的安装程序以及在主机上建立持久化的方法。它还为最终执行Durian的加载恶意软件铺平了道路。
就其本身而言,Durian被用来引入更多的恶意软件,包括AppleSeed, Kimsuky的主要后门选择、一个名为LazyLoad的定制代理工具、以及其他合法工具,如ngrok和Chrome远程桌面。
卡巴斯基表示:“最终,黑客植入了恶意软件来窃取浏览器存储的数据,包括cookie和登录凭证。”
据悉,Kimsuky至少从2012年开始活跃,在过往的这些年进行的恶意网络攻击活动中被各类分析机构命名了很多别名,如:APT43、Black Banshee、Emerald Sleet(以前的Thallium)、Springtail、TA427和Velvet Chollima。据报导,该组织隶属于朝鲜最高军事情报机构侦察总局(Reconnaissance General Bureau, RGB)。
成功的入侵进一步使Kimsuky能够制作更可信、更有效的鱼叉式网络钓鱼邮件,然后可以利用这些邮件攻击更敏感、更高价值的目标。
Symantec表示,他们还与鱼叉式网络钓鱼活动有关,这些活动提供了一种基于c#的远程访问木马和信息窃取程序,名为TutorialRAT(又名TutRAT),它利用Dropbox作为“逃避威胁监控的攻击基地”。
“近期的攻击似乎是APT43的BabyShark威胁攻击的扩展,并采用了典型的鱼叉式网络钓鱼技术,包括使用快捷键(LNK)文件。”
与此同时,安实验室安全情报中心(ASEC)详细描述了另一个由朝鲜政府支持的黑客组织ScarCruft精心策划的一场活动,该组织利用Windows快捷键(LNK)文件瞄准韩国用户,最终部署了RokRAT。
这个组织也被称为APT37、InkySquid、RedEyes、Ricochet Chollima和Ruby Sleet,据说与朝鲜国家安全部(MSS)结盟,负责秘密情报收集,以支持国家的战略军事、政治和经济利益。
ASEC表示:“最近确认的快捷文件(*.LNK)是针对韩国用户的,特别是与朝鲜有关的用户。”
针对以上威胁组织所采用的手段的攻击模拟规则已经加入到塞讯安全度量验证平台中,您可以在平台中搜索关键词 “Kimsuky”、 “APT43”、 “Durian”、 “APT37”、 “AppleSeed”、 “Ngrok”、 “RokRAT”获取相关攻击模拟验证动作,从而验证您的安全防御体系是否能够有效应对该威胁组织的攻击,平台以业界独有方式确保您的验证过程安全无害。
如需了解更多关于塞讯安全度量验证平台的信息,欢迎拨打官方电话400-860-6366或发送邮件至[email protected]联系我们。您也可以扫描下方二维码添加官方客服,我们将竭诚为您服务。
用持续验证 建长久安全
塞讯验证是国内网络安全度量验证平台开创者,致力于利用第一手的受害者威胁情报赋能组织现有的安全防御体系,实现有效的网络安全布防。
核心团队均来自于全球知名网络安全公司和APT研究机构,拥有业界突出的安全研究与APT组织追踪能力。两大研发团队分别位于上海和杭州,致力于为客户打造最优秀的安全验证产品。我们在北京、上海、深圳、杭州均设有分支机构,服务可覆盖全国各个角落。
▶▶关注【塞讯安全验证】,了解塞讯安全度量验证平台以及更多安全资讯
▶▶关注【塞讯业务可观测】,了解最前沿的业务可观测性和IT运营相关技术、观点及趋势
原文始发于微信公众号(塞讯安全验证):朝鲜黑客针对加密货币公司部署新的 Golang 恶意软件“Durian”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论