O ator de estado vinculado à Coreia do Norte conhecido como Kimsuky é suspeito de usar um ladrão de informações baseado em Golang até então desconhecido, chamado Troll Stealer.
O malware rouba "SSH, FileZilla, arquivos/diretórios do drive C, navegadores, informações do sistema, [e] capturas de tela" de sistemas infectados, disse a empresa de segurança cibernética da Coreia do Sul, S2W, em um novo relatório técnico.
As ligações do Troll Stealer com o Kimsuky provêm de suas semelhanças com famílias de malware conhecidas, como os malwares AppleSeed e AlphaSeed que têm sido atribuídos ao grupo.
Kimsuky, também rastreado sob os nomes APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Nickel Kimball e Velvet Chollima, é bem conhecido por sua propensão a roubar informações sensíveis e confidenciais em operações cibernéticas ofensivas.
No final de Novembro de 2023, os atores de ameaças foram sancionados pelo Departamento do Tesouro dos EUA - Gabinete de Controle de Ativos Estrangeiros (OFAC) por coletar inteligência para promover objetivos estratégicos da Coreia do Norte.
O coletivo adversário, nos últimos meses, tem sido atribuído a ataques de spear-phishing visando entidades sul-coreanas para entregar uma variedade de backdoors, incluindo AppleSeed e AlphaSeed.
A última análise da S2W revela o uso de um "dropper" que se disfarça como um arquivo de instalação de programa de segurança de uma empresa sul-coreana chamada SGA Solutions para lançar o stealer, que recebe este nome a partir do caminho "D:/~/repo/golang/src/root.go/s/troll/agent" que está incorporado nele.
"O dropper é executado como um instalador legítimo ao lado do malware, e tanto o dropper quanto o malware são assinados com um certificado 'D2Innovation Co.,LTD' válido, sugerindo que o certificado da empresa foi realmente roubado", disse a empresa.
Uma característica notável do Troll Stealer é sua capacidade de pilhar a pasta GPKI nos sistemas infectados, aumentando a possibilidade de o malware ter sido usado em ataques direcionados a organizações administrativas e públicas no país.
Dada a ausência de campanhas Kimsuky documentando o roubo de pastas GPKI, aumentou a possibilidade de o novo comportamento ser uma mudança de táticas ou o trabalho de outro ator de ameaça associado ao grupo que também tem acesso ao código-fonte do AppleSeed e AlphaSeed.
Há também sinais de que o ator de ameaça possa estar envolvido com um backdoor baseado em Go, codinome GoBear, que também é assinada com um certificado legítimo associado à D2Innovation Co., LTD e executa instruções recebidas de um servidor de comando e controle (C2).
"As strings contidas nos nomes das funções que chama foram encontradas para se sobrepor aos comandos usados pelo BetaSeed, um malware de backdoor baseado em C++ usado pelo grupo Kimsuky", disse S2W.
"É digno de nota que GoBear acrescenta funcionalidades de proxy SOCKS5, que antes não eram suportadas pelo malware de backdoor do grupo Kimsuky."
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...