Détection de Troll Stealer : Un Nouveau Malware Activement Exploité par le Groupe APT Nord-Coréen Kimsuky
Table des matières :
Le tristement célèbre groupe de hackers parrainé par l’État nord-coréen Kimsuky APT a été repéré en train d’utiliser un voleur d’informations basé sur Golang récemment découvert, nommé Troll Stealer, ainsi que des échantillons de logiciels malveillants GoBear dans des attaques récentes contre la Corée du Sud. Ce nouveau logiciel malveillant est capable de voler des données utilisateur, des données liées au réseau, des informations système et d’autres types de données des systèmes compromis.
Détecter les attaques de Kimsuky en utilisant Troll Stealer et GoBear Malware
L’année 2023 a été marquée par l’activité croissante des groupes de menaces persistantes avancées (APT), un signal d’alarme pour les défenseurs cybernétiques, indiquant que le monde est au bord d’une guerre cybernétique mondiale. Avec les acteurs de la menace soutenus par la Corée du Nord parmi les groupes les plus actifs et néfastes, les organisations nécessitent des outils de cybersécurité avancés pour faire face à l’augmentation des volumes d’attaques.
Pour détecter la dernière campagne de Kimsuky utilisant Troll Stealer et la porte dérobée GoBear pour cibler les organisations en Corée du Sud, la plateforme SOC Prime agrège un ensemble d’algorithmes de détection sélectionnés, compatibles avec 28 solutions SIEM, EDR, XDR et Data Lake. Toutes les règles sont conformes à MITRE ATT&CK v14.1 et accompagnées d’une métadonnée étendue, y compris des liens CTI, des références ATT&CK, des recommandations de triage, et plus encore.
Appuyez simplement sur le bouton Explore Detections ci-dessous et approfondissez dans une pile de détection dédiée aidant à identifier les attaques potentielles de Troll Stealer.
Pour aider les praticiens de la sécurité à anticiper les attaques posées par Kimsuky APT, la plateforme SOC Prime agrège une sélection plus large de règles couvrant l’activité malveillante associée à cet acteur de la menace en lumière. Il suffit de rechercher dans le Marché de la Détection des Menaces par le tag « Kimsuky », basé sur l’identifiant du groupe ou de suivre ce lien.
Analyse des dernières attaques de Kimsuky APT
Les groupes de hackers nord-coréens soutenus par l’État, comme Lazarus APT or APT37, font sensation dans l’arène de la menace cybernétique depuis au moins un demi-siècle. S2W a récemment publié des recherches sur un échantillon malveillant récemment découvert, qui serait lié à un autre groupe nord-coréen tristement célèbre connu sous le nom de Kimsuky.
Kimsuky, également connu sous le nom de APT43, ARCHIPELAGO, Black Banshee, Emerald, PENCIL VOLÉ, Thallium, ou Velvet Chollima, opère depuis 2013, ciblant principalement la Corée du Sud. Fin janvier 2022, ils ont utilisé des RATs open-source et une porte dérobée sur mesure Gold Dragon pour frapper des organisations sud-coréennes. La porte dérobée était utilisée pour télécharger un outil xRAT pour extraire manuellement les données du système compromis.
Dans la dernière attaque, Kimsuky a employé un fichier de dépôt malveillant se faisant passer pour un installateur de logiciel de sécurité légitime de la société sud-coréenne, SGA Solutions, pour déployer Troll Stealer prévu pour l’exfiltration de données. Notamment, le dépôt fonctionne comme un installateur légitime, accompagnant le logiciel malveillant, et les deux composants sont signés avec un certificat légitime de D2Innovation Co., Ltd., ce qui implique que le certificat de l’entreprise aurait été volé par les adversaires. La capacité de Troll Stealer à voler des certificats GPKI délivrés par le gouvernement sud-coréen à partir des systèmes affectés indique que le logiciel malveillant pourrait être potentiellement utilisé pour cibler des organisations du secteur public sud-coréen.
Les chercheurs en sécurité lient également la plus récente activité de Kimsuky à l’utilisation de la porte dérobée GoBear, qui partage un certificat similaire et applique des commandes identiques à celles utilisées par le malware BetaSeed de la boîte à outils de l’adversaire du groupe. Notamment, GoBear a introduit une fonctionnalité de proxy SOCKS5, qui n’avait pas été précédemment liée aux capacités de logiciels malveillants de porte dérobée de Kimsuky.
Avec les risques croissants des dernières attaques de Kimsuky posant une menace potentielle pour les organisations sud-coréennes dans plusieurs secteurs industriels, y compris les entités gouvernementales, les défenseurs cherchent des moyens d’implémenter des stratégies de cybersécurité préventives pour contrecarrer à temps les attaques APT ciblées. Parcourez SOC Prime pour atteindre 500+ algorithmes de détection contre diverses attaques APT pour une défense cybernétique proactive.
