Kimsuky (کیمسوکی)، یک گروه سایبری تحت حمایت کره شمالی است. این گروه در حملات اخیر خود، شرکتهای فعال در حوزه کریپتو (ارز دیجیتال) در کره جنوبی را توسط یک بدافزار جدید مبتنی بر Golang به نام بدافزار Durian مورد هدف قرار داده است.
Durian در واقع به عنوان یک بکدور عمل میکند که قادر به اجرای دستورات، دانلود و استخراج فایل است. این حملات که در آگوست و نوامبر 2023 رخ دادهاند، مستلزم سوء استفاده از نرم افزار قانونی و انحصاری کره جنوبی به عنوان نقطه آغاز عملیات میباشند. مکانیزم حمله هنوز به طور دقیق مشخص نیست.
آنچه مشخص میباشد، این است که نرم افزار با سرور مهاجم ارتباط برقرار میکند که منجر به بازیابی یک پیلود مخرب میشود. پیلود در مرحله اول به عنوان یک نصب کننده برای دریافت و نصب بدافزارهای بیشتر و تداوم دسترسی در میزبان عمل میکند.
این پیلود راه را برای دریافت یک لودر هموار مینماید که در نهایت بدافزار Durian را اجرا خواهد کرد. Durian به منظور ارائه بدافزارهای بیشتر از جمله AppleSeed، بکدور اصلی Kimsuky، ابزار پروکسی سفارشی معروف به LazyLoad و همچنین سایر ابزارهای قانونی مانند ngrok و Chrome Remote Desktop استفاده میشود.
این بدافزار با هدف ربودن دادههای ذخیره شده در مرورگر از جمله کوکیها و داده های لاگین به سیستم طراحی شده است.
یکی از جنبههای قابل توجه این حمله، استفاده از LazyLoad میباشد که قبلاً توسط Andariel، یک گروه فرعی در Lazarus مورد استفاده قرار گرفته بود. با توجه به این شواهد، احتمال همکاری بالقوه یا همپوشانی تاکتیکی میان این دو گروه وجود دارد.
مأموریت اصلی گروه Kimsuky؛ نفوذ به تحلیلگران سیاسی و سایر کارشناسان با استفاده از ایمیلهای فیشینگ به ظاهر معتبر و تحویل داده های ربوده شده و بینشهای ژئوپلیتیک ارزشمند به رژیم کره شمالی است.
این گروه با حملاتی مرتبط میباشد که یک تروجان دسترسی از راه دور مبتنی بر C و یک رباینده اطلاعات به نام TutorialRAT را ارائه میدهند.
این دسته حملات به نظر میرسد که توسعه حملات BabyShark متعلق به APT43 میباشند و از تکنیکهای فیشینگ هدفمند متداول، از جمله فایلهای میانبر (LNK) استفاده میکنند.
این توسعه زمانی صورت پذیرفت که مرکز اطلاعات امنیتی AhnLab (ASEC)، یک سری حملات سازمان دهی شده توسط گروه سایبری ScarCruft، تحت حمایت دولت کره شمالی را شناسایی و معرفی کرد.
ScarCruft، کاربران کره جنوبی را با استفاده از فایلهای میانبر ویندوز (LNK) مورد هدف قرار میدهد که در نهایت منجر به استقرار RokRAT میشود.
این گروه که با نامهای APT37، InkySquid، RedEyes، Ricochet Chollima و Ruby Sleet نیز شناخته و دنبال میشود، با وزارت امنیت کره شمالی (MSS) مرتبط و هسو بوده و وظیفه جمعآوری اطلاعات در حمایت از منافع نظامی، سیاسی، استراتژیک و اقتصادی این کشور را بر عهده دارد.
