Erkennung von Troll Stealer: Neue Malware, aktiv genutzt von der nordkoreanischen Kimsuky APT

Die berüchtigte nordkoreanische staatlich geförderte Hackergruppe Kimsuky APT wurde dabei beobachtet, wie sie einen neu entdeckten, auf Golang basierenden Informationsdieb namens Troll Stealer zusammen mit GoBear-Malware-Stämmen in jüngsten Angriffen gegen Südkorea einsetzt. Die neuartige Malware ist in der Lage, Benutzerdaten, netzwerkbezogene Daten, Systeminformationen und andere Arten von Daten von kompromittierten Systemen zu stehlen.

Erkennen von Kimsuky-Angriffen mit Troll Stealer & GoBear Malware

Das Jahr 2023 ist durch die zunehmende Aktivität von Advanced Persistent Threat (APT)-Gruppen geprägt und dient als Weckruf für Cyberverteidiger, dass die Welt am Rande eines globalen Cyberkriegs steht. Da von Nordkorea unterstützte Bedrohungsakteure zu den aktivsten und verwerflichsten Gruppen gehören, benötigen Organisationen fortschrittliche Cybersicherheitswerkzeuge, um mit den steigenden Angriffsvolumina fertig zu werden. 

Um die neueste Kimsuky-Kampagne zu erkennen, die Troll Stealer und GoBear-Backdoor nutzt, um Organisationen in Südkorea zu attackieren, aggregiert die SOC Prime Plattform eine Reihe kuratierter Erkennungsalgorithmen, die mit 28 SIEM-, EDR-, XDR- und Data-Lake-Lösungen kompatibel sind. Alle Regeln sind auf MITRE ATT&CK v14.1 abgebildet und werden von umfangreichen Metadaten begleitet, einschließlich CTI-Links, ATT&CK-Referenzen, Triage-Empfehlungen und mehr. 

Drücken Sie einfach den Erkennungen durchsuchen Knopf unten und vertiefen Sie sich in einen dedizierten Erkennungsstapel, der hilft, mögliche Troll Stealer-Angriffe zu identifizieren. 

Erkennungen durchsuchen

Um Sicherheitsexperten dabei zu helfen, den Angriffen der Kimsuky APT einen Schritt voraus zu sein, aggregiert die SOC Prime Plattform eine breitere Auswahl an Regeln, die bösartige Aktivitäten im Zusammenhang mit dem Bedrohungsakteur im Mittelpunkt abdecken. Suchen Sie einfach im Threat Detection Marketplace nach dem „Kimsuky“-Tag basierend auf dem Gruppenidentifikator oder folgen Sie diesem Link.

Aktuelle Angriffsanalyse der Kimsuky APT

Von Regierungen unterstützte nordkoreanische Hackergruppen wie Lazarus APT or APT37, sorgen seit mindestens einem halben Jahrzehnt für Aufsehen in der Cyber-Bedrohungsarena. S2W hat kürzlich Forschungsergebnisse veröffentlicht über ein neu entdecktes bösartiges Sample, das mit einer anderen berüchtigten nordkoreanischen Gruppe namens Kimsuky.

Kimsuky, auch bekannt als APT43, ARCHIPELAGO, Black Banshee, Emerald, STOLEN PENCIL, Thallium, oder Velvet Chollima, operiert seit 2013 und zielt hauptsächlich auf Südkorea ab. Ende Januar 2022 setzten sie Open-Source-RATs und eine maßgeschneiderte Gold Dragon-Backdoor ein, um südkoreanische Organisationen zu treffen. Die Backdoor wurde verwendet, um ein xRAT-Tool herunterzuladen, das zum manuellen Extrahieren von Daten aus dem kompromittierten System dient.

Beim letzten Angriff verwendete Kimsuky eine bösartige Dropper-Datei, die sich als legitimer Sicherheitssoftware-Installer des südkoreanischen Unternehmens SGA Solutions ausgab, um Troll Stealer für die Datenausleitung bereitzustellen. Bemerkenswerterweise fungiert der Dropper als legitimer Installer, der die Malware begleitet, und beide Komponenten sind mit einem legitimen Zertifikat von D2Innovation Co., Ltd. signiert, was darauf hindeutet, dass das Zertifikat des Unternehmens von Angreifern gestohlen worden sein muss. Die Fähigkeit von Troll Stealer, von der südkoreanischen Regierung ausgestellte GPKI-Zertifikate von betroffenen Systemen zu stehlen, deutet darauf hin, dass die Malware potenziell darauf abzielen könnte, südkoreanische öffentliche Sektororganisationen ins Visier zu nehmen. 

Sicherheitsforscher verknüpfen auch die jüngste Kimsuky-Aktivität mit der Verwendung der GoBear-Backdoor, die ein ähnliches Zertifikat teilt und identische Befehle wie die BetaSeed-Malware aus dem Toolkit der Gruppe anwendet. Bemerkenswert ist, dass GoBear eine SOCKS5-Proxy-Funktionalität einführte, die zuvor nicht mit den Backdoor-Malware-Fähigkeiten von Kimsuky in Verbindung gebracht wurde. 

Mit den wachsenden Risiken der neuesten Kimsuky-Angriffe, die eine potenzielle Bedrohung für südkoreanische Organisationen in verschiedenen Branchen, einschließlich Regierungsbehörden, darstellen, suchen Verteidiger nach Wegen, um präventive Cybersicherheitsstrategien zu implementieren, um gezielte APT-Angriffe rechtzeitig zu vereiteln. Durchsuchen Sie SOC Prime, um 500+ Erkennungsalgorithmen gegen unterschiedliche APT-Angriffe für proaktive Cyberabwehr zu erreichen.