Rilevamento di Troll Stealer: Un Nuovo Malware Attivamente Utilizzato dal Gruppo APT Nord Coreano Kimsuky

Il famigerato gruppo di hacking sponsorizzato dallo stato nordcoreano Kimsuky APT è stato avvistato mentre sfruttava un nuovo information stealer basato su Golang, rilevato come Troll Stealer, insieme a varianti di malware GoBear in recenti attacchi contro la Corea del Sud. Il nuovo malware è in grado di rubare dati utente, dati relativi alla rete, informazioni di sistema e altri tipi di dati dai sistemi compromessi.

Rileva gli attacchi Kimsuky usando Troll Stealer e malware GoBear

L’anno 2023 è stato caratterizzato dall’attività crescente dei gruppi di minacce persistenti avanzate (APT), rappresentando un campanello d’allarme per i difensori informatici sul fatto che il mondo sta per trovarsi sull’orlo di una guerra cibernetica globale. Con gli attori delle minacce sostenuti dalla Corea del Nord tra i gruppi più attivi e nefandi, le organizzazioni necessitano di strumenti avanzati di cybersecurity per far fronte all’aumento degli attacchi.

Per rilevare la campagna Kimsuky più recente che sfrutta Troll Stealer e GoBear backdoor per colpire le organizzazioni in Corea del Sud, la piattaforma SOC Prime aggrega un set di algoritmi di rilevamento curati compatibili con 28 soluzioni SIEM, EDR, XDR e Data Lake. Tutte le regole sono mappate su MITRE ATT&CK v14.1 e accompagnate da metadati estesi, inclusi link CTI, riferimenti ATT&CK, raccomandazioni sul triage e altro.

Premi semplicemente il pulsante Esplora Rilevamenti qui sotto e approfondisci una serie di rilevamenti dedicati che aiutano a identificare possibili attacchi di Troll Stealer.

pulsante Esplora Rilevamenti

Per aiutare i professionisti della sicurezza a stare al passo con gli attacchi posti da Kimsuky APT, la piattaforma SOC Prime aggrega una selezione più ampia di regole che coprono attività dannose associate agli attori delle minacce in prima linea. Basta cercare nel Threat Detection Marketplace tramite il tag “Kimsuky” basato sull’identificatore del gruppo o seguire questo link.

Analisi dell’Ultimo Attacco di Kimsuky APT

I gruppi di hacking nordcoreani sostenuti dalla nazione, come Lazarus APT or APT37, hanno scatenato agitazione nell’arena delle minacce informatiche per almeno mezzo decennio. Di recente, S2W ha emesso una ricerca su un nuovo campione malevolo scoperto, che si crede sia collegato a un altro famigerato gruppo nordcoreano noto come Kimsuky.

Kimsuky, noto anche come APT43, ARCHIPELAGO, Black Banshee, Emerald, STOLEN PENCIL, Thallium o Velvet Chollima, opera dal 2013, prendendo di mira principalmente la Corea del Sud. Alla fine di gennaio 2022, hanno applicato RAT open-source e un backdoor Gold Dragon personalizzato per colpire le organizzazioni sudcoreane. Il backdoor è stato utilizzato per scaricare uno strumento xRAT per estrarre manualmente i dati dal sistema compromesso.

Nell’ultimo attacco, Kimsuky ha impiegato un file dropper malevolo camuffato come un installatore legittimo di software di sicurezza dalla società sudcoreana, SGA Solutions, per distribuire Troll Stealer destinato all’esfiltrazione dei dati. In particolare, il dropper opera come un installatore legittimo, accompagnando il malware, e entrambi i componenti sono firmati con un certificato legittimo da D2Innovation Co., Ltd., implicando che il certificato dell’azienda sia stato rubato dagli avversari. La capacità di Troll Stealer di rubare certificati GPKI emessi dal governo sudcoreano dai sistemi interessati indica che il malware potrebbe essere potenzialmente utilizzato per colpire organizzazioni del settore pubblico sudcoreano.

I ricercatori di sicurezza collegano anche l’attività più recente di Kimsuky all’uso del backdoor GoBear, che condivide un certificato simile e applica comandi identici usati dal malware BetaSeed nel toolkit dell’avversario del gruppo. Notabilmente, GoBear ha introdotto la funzionalità proxy SOCKS5, che precedentemente non era stata collegata alle capacità del malware backdoor di Kimsuky.

Con l’aumento dei rischi degli ultimi attacchi di Kimsuky che rappresentano una potenziale minaccia per le organizzazioni sudcoreane in diversi settori industriali, comprese le entità governative, i difensori stanno cercando modi per implementare strategie di cybersecurity preventive per contrastare tempestivamente gli attacchi APT mirati. Esplora SOC Prime per accedere a 500+ algoritmi di rilevamento contro attacchi APT diversificati per una difesa cyber proattiva.