خانه » نفوذ بدافزار Durian به شرکت ‌های فعال در حوزه ارز دیجیتال در کره جنوبی

نفوذ بدافزار Durian به شرکت ‌های فعال در حوزه ارز دیجیتال در کره جنوبی

توسط Vulnerbyte
92 بازدید
بدافزار Durian - شرکت‌های فعال در حوزه ارز دیجیتال

Kimsuky (کیمسوکی)، یک گروه سایبری تحت حمایت کره شمالی است. این گروه در حملات اخیر خود، شرکت‌های فعال در حوزه کریپتو (ارز دیجیتال) در کره جنوبی را توسط یک بدافزار جدید مبتنی بر Golang به نام بدافزار Durian مورد هدف قرار داده است.

Durian در واقع به عنوان یک بکدور عمل می‌کند که قادر به اجرای دستورات، دانلود و استخراج فایل است. این حملات که در آگوست و نوامبر 2023 رخ داده‌اند، مستلزم سوء استفاده از نرم ‌افزار قانونی و انحصاری کره جنوبی به عنوان نقطه آغاز عملیات می‌باشند. مکانیزم حمله هنوز به طور دقیق مشخص نیست.

آنچه مشخص می‌باشد، این است که نرم افزار با سرور مهاجم ارتباط برقرار می‌کند که منجر به بازیابی یک پیلود مخرب می‌شود. پیلود در مرحله اول به عنوان یک نصب کننده برای دریافت و نصب بدافزارهای بیشتر و تداوم دسترسی در میزبان عمل می‌کند.

این پیلود راه را برای دریافت یک لودر هموار می‌نماید که در نهایت بدافزار Durian را اجرا خواهد کرد. Durian به منظور ارائه بدافزارهای بیشتر از جمله AppleSeed، بکدور اصلی Kimsuky، ابزار پروکسی سفارشی معروف به LazyLoad و همچنین سایر ابزارهای قانونی مانند ngrok و Chrome Remote Desktop استفاده می‌شود.

این بدافزار با هدف ربودن داده‌های ذخیره‌ شده در مرورگر از جمله کوکی‌ها و داده های لاگین به سیستم طراحی شده است.

یکی از جنبه‌های قابل توجه این حمله، استفاده از LazyLoad می‌باشد که قبلاً توسط Andariel، یک گروه فرعی در Lazarus مورد استفاده قرار گرفته بود. با توجه به این شواهد، احتمال همکاری بالقوه یا همپوشانی تاکتیکی میان این دو گروه وجود دارد.

مأموریت اصلی گروه Kimsuky؛ نفوذ به تحلیلگران سیاسی و سایر کارشناسان با استفاده از ایمیل‌های فیشینگ به ظاهر معتبر و تحویل داده های ربوده شده و بینش‌های ژئوپلیتیک ارزشمند به رژیم کره شمالی است.

این گروه با حملاتی مرتبط می‌باشد که یک تروجان دسترسی از راه دور مبتنی بر C و یک رباینده اطلاعات به نام TutorialRAT را ارائه می‌دهند.

این دسته حملات به نظر می‌رسد که توسعه حملات BabyShark متعلق به APT43 می‌باشند و از تکنیک‌های فیشینگ هدفمند متداول، از جمله فایل‌های میانبر (LNK) استفاده می‌کنند.

این توسعه زمانی صورت پذیرفت که مرکز اطلاعات امنیتی AhnLab (ASEC)، یک سری حملات سازمان‌ دهی شده توسط گروه سایبری ScarCruft، تحت حمایت دولت کره شمالی را شناسایی و معرفی کرد.

ScarCruft، کاربران کره جنوبی را با استفاده از فایل‌های میانبر ویندوز (LNK) مورد هدف قرار می‌دهد که در نهایت منجر به استقرار RokRAT می‌شود.

این گروه که با نام‌های APT37، InkySquid، RedEyes، Ricochet Chollima و Ruby Sleet نیز شناخته و دنبال می‌شود، با وزارت امنیت کره شمالی (MSS) مرتبط و هسو بوده و وظیفه جمع‌آوری اطلاعات در حمایت از منافع نظامی، سیاسی، استراتژیک و اقتصادی این کشور را بر عهده دارد.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید