Detecção do Troll Stealer: Novo Malware Ativamente Utilizado pelo APT Kimsuky da Coreia do Norte
Índice:
O infame grupo de hackers patrocinado pelo estado norte-coreano Kimsuky APT foi flagrado aproveitando um novo ladrão de informações baseado em Golang recentemente descoberto, rastreado como Troll Stealer, juntamente com variantes de malware GoBear em ataques recentes contra a Coreia do Sul. O novo malware é capaz de roubar dados de usuários, dados relacionados à rede, informações do sistema e outros tipos de dados de sistemas comprometidos.
Detectar ataques Kimsuky usando Troll Stealer & GoBear Malware
O ano de 2023 foi marcado pelo aumento da atividade de grupos de ameaças persistentes avançadas (APT), sendo um alerta para os defensores cibernéticos de que o mundo está à beira de uma guerra cibernética global. Com atores de ameaça apoiados pela Coreia do Norte entre os grupos mais ativos e nefastos, as organizações necessitam de ferramentas avançadas de cibersegurança para lidar com o volume crescente de ataques.
Para detectar a campanha mais recente do Kimsuky que utiliza Troll Stealer e a porta dos fundos GoBear para atacar organizações na Coreia do Sul, a Plataforma SOC Prime agrega um conjunto de algoritmos de detecção curados compatíveis com 28 soluções SIEM, EDR, XDR e Data Lake. Todas as regras são mapeadas para MITRE ATT&CK v14.1 e acompanhadas com extensa metadados, incluindo links CTI, referências ATT&CK, recomendações de triagem, e mais.
Basta pressionar o botão Explorar Detecções abaixo e investigar uma pilha de detecção dedicada que ajuda a identificar possíveis ataques do Troll Stealer.
Para ajudar os profissionais de segurança a se manterem à frente dos ataques promovidos pelo Kimsuky APT, a Plataforma SOC Prime agrega uma seleção mais ampla de regras abrangendo atividades maliciosas associadas ao ator de ameaça em destaque. Basta pesquisar o Marketplace de Detecção de Ameaças pela tag “Kimsuky” baseada no identificador do grupo ou seguir este link.
Análise do Último Ataque do Kimsuky APT
Grupos de hackers norte-coreanos apoiados pela nação, como Lazarus APT or APT37, vêm causando alvoroço na arena de ameaças cibernéticas por pelo menos meio século. A S2W recentemente divulgou uma pesquisa sobre uma amostra maliciosa recentemente descoberta, que acredita-se estar ligada a outro infame grupo norte-coreano conhecido como Kimsuky.
Kimsuky, também conhecido como APT43, ARCHIPELAGO, Black Banshee, Emerald, STOLEN PENCIL, Thallium, ou Velvet Chollima, está operando desde 2013, tendo como alvo principal a Coreia do Sul. No final de janeiro de 2022, eles aplicaram RATs de código aberto e um backdoor Gold Dragon personalizado para atingir organizações sul-coreanas. O backdoor foi usado para baixar uma ferramenta xRAT para extrair manualmente dados do sistema comprometido.
No último ataque, o Kimsuky empregou um arquivo dropper malicioso disfarçado de instalador de software de segurança legítimo da empresa sul-coreana SGA Solutions, para implantar o Troll Stealer destinado à exfiltração de dados. Notavelmente, o dropper opera como um instalador legítimo, acompanhando o malware, e ambos os componentes estão assinados com um certificado legítimo da D2Innovation Co., Ltd., indicando que o certificado da empresa deve ter sido roubado por adversários. A capacidade do Troll Stealer de roubar certificados GPKI emitidos pelo governo sul-coreano de sistemas afetados indica que o malware pode ser potencialmente usado para atingir organizações do setor público sul-coreano.
Pesquisadores de segurança também vinculam a atividade mais recente do Kimsuky ao uso do backdoor GoBear, que compartilha um certificado semelhante e aplica comandos idênticos usados pelo malware BetaSeed do kit de ferramentas de adversários do grupo. Notavelmente, o GoBear introduziu a funcionalidade de proxy SOCKS5, que anteriormente não havia sido ligada às capacidades de malware de backdoor do Kimsuky.
Com os riscos crescentes dos últimos ataques do Kimsuky representando uma ameaça potencial para organizações sul-coreanas em diversos setores da indústria, incluindo entidades governamentais, os defensores estão buscando maneiras de implementar estratégias de cibersegurança preventivas para frustrar em tempo hábil ataques APT direcionados. Explore o SOC Prime para acessar 500+ algoritmos de detecção contra diversos ataques APT para defesa cibernética proativa.
