در تازه ترین اخبار حوزه سایبری در فوریه ۲۰۲۴، شنیده شد که بدافزار Troll و بکدور GoBear، کره جنوبی را مورد هدف قرار دادند. عامل تهدید تحت حمایت دولت کره شمالی معروف به کیمسوکی (Kimsuky) مظنون به استفاده از یک رباینده اطلاعات جدید مبتنی بر Golang میباشد که Troll Stealer نام دارد.
شرکت امنیت سایبری کره جنوبی، S2W طی یک گزارش فنی اذعان داشت که این بدافزار “فایلها/دایرکتوریهای درایو C، SSH، FileZilla، مرورگرها، اطلاعات سیستم و عکسهای صفحه نمایش” را از سیستم های آلوده و تحت نفوذ میرباید.
پیوندهای Troll Stealer به کیمسوکی ناشی از شباهت های آن با خانواده بدافزارهای شناخته شده، مانند بدافزار AppleSeed و AlphaSeed میباشد که به این گروه نسبت داده شدهاند. کیمسوکی که با نامهای APT43، ARCHIPELAGO، Black Banshee، Emerald Sleet (Thallium سابق)، Nickel Kimball و Velvet Chollima نیز دنبال میشود، به دلیل تمایلش به ربودن اطلاعات حساس و محرمانه در عملیاتهای سایبری تهاجمی (offensive) شناخته شده است.
عوامل تهدید در اواخر نوامبر ۲۰۲۳، توسط دفتر کنترل داراییهای خارجی وزارت خزانه داری ایالات متحده (OFAC) به دلیل جمع آوری اطلاعات برای پیشبرد اهداف استراتژیک کره شمالی تحریم شدند. گروه متخاصم، در ماههای اخیر، به حملات فیشینگ هدفمند نسبت داده شده است که نهادهای کره جنوبی را برای ارائه انواع بکدورها، از جمله AppleSeed و AlphaSeed هدف قرار میدهند.
آخرین تجزیه و تحلیل S2W، استفاده از فایل نصب کننده بدافزاری را نشان میدهد که به عنوان یک فایل نصب برنامه امنیتی از یک شرکت کره جنوبی به نام SGA Solutions برای راه اندازی بدافزار رباینده استفاده میشود و نام خود را از مسیر ” D:/~/repo/golang/src/root.go/s/troll/agent ” که در آن تعبیه شده است، اتخاذ کرده است.
فایل نصب کننده بدافزار، به عنوان یک نصب کننده قانونی در کنار بدافزار اجرا میشود و هم نصب کننده و هم بدافزار توسط یک گواهی معتبر و قانونی D2Innovation Co.,LTD امضاء شدهاند که نشان میدهد گواهی شرکت واقعا به سرقت رفته است.
یکی از ویژگیهای برجسته Troll Stealer توانایی آن در سرقت گواهیهای GPKI صادر شده توسط دولت کره جنوبی از سیستمهای آلوده و تحت نفوذ است که حاکی از آن است که این بدافزار ممکن است در حملاتی که سازمانهای اداری و عمومی در این کشور را هدف قرار میدهند، مورد استفاده قرار گیرد.
نشانه هایی وجود دارد که عامل تهدید ممکن است با یک بکدور مبتنی بر Go با نام رمز GoBear مرتبط باشد که همچنین با گواهی قانونی مرتبط با D2Innovation Co., LTD امضا شده است و دستورالعملهای دریافت شده از یک سرور فرمان و کنترل (C2) را اجرا میکند.
رشتههای موجود در نام توابعی که فراخوانی میشود با دستورات استفاده شده توسط BetaSeed، یک بکدور مبتنی بر C++ که توسط گروه کیمسوکی استفاده میشود، همپوشانی دارند. قابل توجه است که GoBear عملکرد پروکسی SOCKS5 را اضافه میکند که قبلاً توسط بدافزار بکدور گروه کیمسوکی پشتیبانی نشده است.
Kimsuky همچنین به یک موج فیشینگ هدفمند دیگری نسبت داده شده است که AppleSeed و نوع Golang آن یعنی AlphaSeed را منتشر می کند و هر دو برای جمع آوری اطلاعات حساس و ارائه بدافزارهای اضافی مانند رباینده ها طراحی شدهاند.
IoCها
File hash
Dropper
- 19c2decfa7271fa30e48d4750c1d18c1
- 6eebb5ed0d0b5553e40a7b1ad739589709d077aab4cbea1c64713c48ce9c96f9
- 7b6d02a459fdaa4caa1a5bf741c4bd42
- f8ab78e1db3a3cc3793f7680a90dc1d8ce087226ef59950b7acd6bb1beffd6e3
- 27ef6917fe32685fdf9b755eb8e97565
- 2e0ffaab995f22b7684052e53b8c64b9283b5e81503b88664785fe6d6569a55e
Backdoor (GoBear)
- 87429e9223d45e0359cd1c41c0301836
- a8c24a3e54a4b323973f61630c92ecaad067598ef2547350c9d108bc175774b9
Troll Stealer
- 7457dc037c4a5f3713d9243a0dfb1a2c
- ff3718ae6bd59ad479e375c602a81811718dfb2669c2d1de497f02baf7b4adca
- c8e7b0d3b6afa22e801cacaf16b37355
- 955cb4f01eb18f0d259fcb962e36a339e8fe082963dfd9f72d3851210f7d2d3b
- 88f183304b99c897aacfa321d58e1840
- bc4c1c869a03045e0b594a258ec3801369b0dcabac193e90f0a684900e9a582d
Network
- hxxp[:]//ai.kostin.p-e[.]kr/index.php
- hxxp[:]//ar.kostin.p-e[.]kr/index.php
- hxxp[:]//ai.negapa.p-e[.]kr/index.php
- hxxp[:]//ol.negapa.p-e[.]kr/index.php
- hxxp[:]//ai.limsjo.p-e[.]kr/index.php
- hxxp[:]//qi.limsjo.p-e[.]kr/index.php
- hxxp[:]//coolsystem[.]co.kr/admin/mail/index.php
- ai.kostin.p-e[.]kr
- ar.kostin.p-e[.]kr
- ai.negapa.p-e[.]kr
- ol.negapa.p-e[.]kr
- ai.limsjo.p-e[.]kr
- qi.limsjo.p-e[.]kr
