O ator de estado vinculado à Coreia do Norte conhecido como Kimsuky é suspeito de usar um ladrão de informações baseado em Golang até então desconhecido, chamado Troll Stealer.
O malware rouba "SSH, FileZilla, arquivos/diretórios do drive C, navegadores, informações do sistema, [e] capturas de tela" de sistemas infectados, disse a empresa de segurança cibernética da Coreia do Sul, S2W, em um novo relatório técnico.
As ligações do Troll Stealer com o Kimsuky provêm de suas semelhanças com famílias de malware conhecidas, como os malwares AppleSeed e AlphaSeed que têm sido atribuídos ao grupo.
Kimsuky, também rastreado sob os nomes APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball e Velvet Chollima, é bem conhecido por sua propensão a roubar informações sensíveis e confidenciais em operações cibernéticas ofensivas.
No final de Novembro de 2023, os atores de ameaças foram sancionados pelo Departamento do Tesouro dos EUA - Gabinete de Controle de Ativos Estrangeiros (OFAC) por coletar inteligência para promover objetivos estratégicos da Coreia do Norte.
O coletivo adversário, nos últimos meses, tem sido atribuído a ataques de spear-phishing visando entidades sul-coreanas para entregar uma variedade de backdoors, incluindo AppleSeed e AlphaSeed.
A última análise da S2W revela o uso de um "dropper" que se disfarça como um arquivo de instalação de programa de segurança de uma empresa sul-coreana chamada SGA Solutions para lançar o stealer, que recebe este nome a partir do caminho "D:/~/repo/golang/src/root.go/s/troll/agent" que está incorporado nele.
"O dropper é executado como um instalador legítimo ao lado do malware, e tanto o dropper quanto o malware são assinados com um certificado 'D2Innovation Co.,LTD' válido, sugerindo que o certificado da empresa foi realmente roubado", disse a empresa.
Uma característica notável do Troll Stealer é sua capacidade de pilhar a pasta GPKI nos sistemas infectados, aumentando a possibilidade de o malware ter sido usado em ataques direcionados a organizações administrativas e públicas no país.
Dada a ausência de campanhas Kimsuky documentando o roubo de pastas GPKI, aumentou a possibilidade de o novo comportamento ser uma mudança de táticas ou o trabalho de outro ator de ameaça associado ao grupo que também tem acesso ao código-fonte do AppleSeed e AlphaSeed.
Há também sinais de que o ator de ameaça possa estar envolvido com um backdoor baseado em Go, codinome GoBear, que também é assinada com um certificado legítimo associado à D2Innovation Co., LTD e executa instruções recebidas de um servidor de comando e controle (C2).
"As strings contidas nos nomes das funções que chama foram encontradas para se sobrepor aos comandos usados pelo BetaSeed, um malware de backdoor baseado em C++ usado pelo grupo Kimsuky", disse S2W.
"É digno de nota que GoBear acrescenta funcionalidades de proxy SOCKS5, que antes não eram suportadas pelo malware de backdoor do grupo Kimsuky."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...