Troll Stealer検出: 北朝鮮のKimsuky APTによって積極的に利用される新型マルウェア

悪名高い北朝鮮国家支援のハッキンググループ Kimsuky APT が、韓国を標的にした最近の攻撃で、Troll Stealerとして追跡される新たに発見されたGolangベースの情報スティーラーとGoBearマルウェアを利用していることが確認されました。この新しいマルウェアは、ユーザーデータ、ネットワーク関連データ、システム情報、その他の種類のデータを侵害されたシステムから盗むことができます。

Troll StealerとGoBearマルウェアを使用してKimsukyの攻撃を検出

2023年は、高度な持続的脅威（APT）グループの活動が増加し、サイバーディフェンダーに対する地球規模のサイバー戦争の瀬戸際にあることを警告する年として刻まれました。北朝鮮支援の脅威アクターは最も活発で悪名高いグループの一つであるため、組織は増加する攻撃量に対処するために高度なサイバーセキュリティツールを必要としています。

Troll StealerとGoBearバックドアを利用して韓国の組織を標的にする最新のKimsukyキャンペーンを検出するため、SOC Primeプラットフォームは28のSIEM、EDR、XDR、データ湖ソリューションに対応したキュレートされた検出アルゴリズムセットを集約します。すべてのルールは MITRE ATT&CK v14.1にマッピングされ、CTIリンク、ATT&CKリファレンス、トリアージ推奨事項などを含む豊富なメタデータが付随しています。

下の 検出を探索 ボタンを押して、Troll Stealer攻撃の可能性を特定するための専用の検出スタックにドリルダウンしてください。

検出を探索

Kimsuky APTによる攻撃に先立ち、セキュリティプラクティショナーが前進するのを支援するため、SOC Primeプラットフォームは注目の脅威アクターに関連する悪意ある活動をカバーする広範囲のルールセットを集約しています。「Kimsuky」タグを使用して脅威検出マーケットプレイスを検索するか、グループ識別子に基づいて このリンク.

Kimsuky APT 最新の攻撃分析

国が支援する北朝鮮のハッキンググループは、 Lazarus APT or APT37などが、少なくとも5年間にわたりサイバー脅威の舞台で騒ぎを引き起こしています。 S2Wは最近、新たに発見された悪意のあるサンプルに関する研究を発表しました。 このサンプルは、悪名高い北朝鮮グループの一つとして知られる Kimsuky.

Kimsuky（APT43、ARCHIPELAGO、Black Banshee、Emerald、STOLEN PENCIL、Thallium、またはVelvet Chollimaとしても知られる）は、2013年から活動を続けており、主に韓国を標的としています。2022年1月下旬、彼らはオープンソースのRATと カスタムGold Dragonバックドア を使用して韓国の組織を攻撃しました。このバックドアは、xRATツールをダウンロードして、侵害されたシステムから手動でデータを抽出するために利用されました。

最新の攻撃では、Kimsukyは韓国の企業SGA Solutionsの合法的なセキュリティソフトウェアインストーラに偽装した悪意のあるドロッパーファイルを使用してデータ抽出を目的とするTroll Stealerを展開しました。このドロッパーは、マルウェアと共に合法的なインストーラーとして機能し、両方のコンポーネントにD2Innovation Co., Ltd.の正規の証明書が付加されており、敵対者によって会社の証明書が盗まれた可能性を示唆しています。Troll Stealer は、影響を受けたシステムから韓国政府発行のGPKI証明書を盗む能力を有しており、韓国の公共部門組織をターゲットにする可能性があります。

セキュリティ研究者たちはまた、最新のKimsuky活動をGoBearバックドアの使用にリンクし、これには同様の証明書が共有されており、グループの敵対ツールキットからのBetaSeedマルウェアによって使用される同一のコマンドが適用されています。特に、GoBearは、以前はKimsukyのバックドアマルウェアの機能とは関連付けられていなかったSOCKS5プロキシ機能を導入しました。

Kimsukyの最新の攻撃における増大するリスクは、政府機関を含む複数の業界セクターにおける韓国組織の潜在的な脅威をもたらしており、防御者たちは標的型APT攻撃を阻止するために、迅速なサイバーセキュリティ戦略を実装する方法を模索しています。SOC Primeを閲覧して、 500以上の検出アルゴリズム による多様なAPT攻撃に対するプロアクティブなサイバー防御を実現してください。