Detección de Troll Stealer: Malware Innovador Aprovechado Activamente por el APT Kimsuky de Corea del Norte
Tabla de contenidos:
El infame grupo de hackers patrocinado por el estado de Corea del Norte Kimsuky APT ha sido visto aprovechando un nuevo ladrón de información basado en Golang descubierto, rastreado como Troll Stealer junto con variantes de malware GoBear en ataques recientes contra Corea del Sur. El novedoso malware es capaz de robar datos del usuario, datos relacionados con la red, información del sistema y otros tipos de datos de los sistemas comprometidos.
Detectar Ataques de Kimsuky Usando Troll Stealer & Malware GoBear
El año 2023 ha estado marcado por la creciente actividad de grupos de amenazas persistentes avanzadas (APT), siendo un llamado de atención para los defensores cibernéticos de que el mundo está al borde de una guerra cibernética global. Con actores de amenazas respaldados por Corea del Norte entre los grupos más activos y nefastos, las organizaciones requieren herramientas avanzadas de ciberseguridad para enfrentar el aumento de los volúmenes de ataques.
Para detectar la última campaña de Kimsuky que aprovecha Troll Stealer y la puerta trasera GoBear para atacar organizaciones en Corea del Sur, SOC Prime Platform agrega un conjunto de algoritmos de detección curados compatibles con 28 soluciones SIEM, EDR, XDR y Data Lake. Todas las reglas están mapeadas a MITRE ATT&CK v14.1 y acompañadas de metadatos extensos, incluidos enlaces CTI, referencias ATT&CK, recomendaciones de triaje, y más.
Simplemente presione el Explorar Detecciones botón a continuación y profundice en una pila de detección dedicada que ayuda a identificar posibles ataques de Troll Stealer.
Para ayudar a los practicantes de seguridad a mantenerse un paso adelante en los ataques planteados por el APT Kimsuky, SOC Prime Platform agrega una selección más amplia de reglas que cubren actividades maliciosas asociadas con este actor de amenazas en el punto de mira. Simplemente busque en el Threat Detection Marketplace por la etiqueta «Kimsuky» basada en el identificador del grupo o siga este enlace.
Análisis del Último Ataque de Kimsuky APT
Grupos de hacking respaldados por naciones como Lazarus APT or APT37, han estado causando revuelo en el ámbito de las amenazas cibernéticas durante al menos medio decenio. S2W ha emitido recientemente una investigación sobre una muestra maliciosa recién descubierta, que se cree está vinculada a otro infame grupo norcoreano conocido como Kimsuky.
Kimsuky, también conocido como APT43, ARCHIPELAGO, Black Banshee, Emerald, STOLEN PENCIL, Thallium o Velvet Chollima, ha estado operando desde 2013, apuntando principalmente a Corea del Sur. A finales de enero de 2022, aplicaron RATs de código abierto y un backdoor Gold Dragon personalizado para atacar organizaciones surcoreanas. La puerta trasera se usó para descargar una herramienta xRAT para extraer datos manualmente del sistema comprometido.
En el último ataque, Kimsuky empleó un archivo dropper malicioso que se hacÃa pasar por un instalador de software de seguridad legÃtimo de la empresa surcoreana SGA Solutions, para desplegar Troll Stealer con la intención de exfiltrar datos. Notablemente, el dropper funciona como un instalador legÃtimo, acompañado del malware, y ambos componentes están firmados con un certificado legÃtimo de D2Innovation Co., Ltd., lo que implica que el certificado de la empresa deberÃa haber sido robado por adversarios. La capacidad de Troll Stealer de robar certificados GPKI emitidos por el gobierno surcoreano de los sistemas afectados indica que el malware podrÃa ser potencialmente utilizado para apuntar a organizaciones del sector público surcoreano.
Los investigadores de seguridad también vinculan la actividad más reciente de Kimsuky con el uso de la puerta trasera GoBear, que comparte un certificado similar y aplica comandos idénticos usados por el malware BetaSeed del conjunto de herramientas del adversario del grupo. Notablemente, GoBear introdujo la funcionalidad de proxy SOCKS5, que anteriormente no habÃa sido vinculada a las capacidades de malware de puerta trasera de Kimsuky.
Con los riesgos crecientes de los últimos ataques de Kimsuky que representan una posible amenaza para las organizaciones surcoreanas en múltiples sectores industriales, incluidas las entidades gubernamentales, los defensores están buscando formas de implementar estrategias de ciberseguridad preventivas para frustrar a tiempo ataques APT dirigidos. Explore SOC Prime para alcanzar más de 500 algoritmos de detección contra diversos ataques APT para una defensa cibernética proactiva.
