Noord-Koreaanse hackers implementeren nieuwe Golang-malware 'Durian' tegen cryptobedrijven

Er is waargenomen dat de Noord-Koreaanse dreigingsacteur die wordt gevolgd terwijl Kimsuky een voorheen ongedocumenteerde op Golang gebaseerde malware inzet, genaamd Durian als onderdeel van zeer gerichte cyberaanvallen gericht op twee Zuid-Koreaanse cryptocurrency-bedrijven.

“Durian beschikt over uitgebreide backdoor-functionaliteit, waardoor de uitvoering van geleverde opdrachten, extra bestandsdownloads en exfiltratie van bestanden mogelijk wordt gemaakt”, aldus Kaspersky in zijn APT-trendrapport voor het eerste kwartaal van 2024.

De aanvallen, die plaatsvonden in augustus en november 2023, brachten het gebruik van legitieme software met zich mee, exclusief voor Zuid-Korea, als infectieroute, hoewel het precieze mechanisme dat wordt gebruikt om het programma te manipuleren momenteel onduidelijk is.

Wat bekend is, is dat de software een verbinding tot stand brengt met de server van de aanvaller, wat leidt tot het ophalen van een kwaadaardige lading die de infectiesequentie in gang zet.

Het dient in de eerste fase als installatieprogramma voor aanvullende malware en als middel om persistentie op de host tot stand te brengen. Het maakt ook de weg vrij voor een loader-malware die uiteindelijk Durian uitvoert.

Durian wordt op zijn beurt ingezet om meer malware te introduceren, waaronder AppleSeed, Kimsuky's belangrijkste achterdeur, een aangepaste proxytool die bekend staat als LazyLoad, evenals andere legitieme tools zoals ngrok en Chrome Remote Desktop.

“Uiteindelijk heeft de acteur de malware geïmplanteerd om in de browser opgeslagen gegevens, waaronder cookies en inloggegevens, te stelen”, aldus Kaspersky.

Een opmerkelijk aspect van de aanval is het gebruik van LazyLoad, dat eerder is gebruikt door Andariel, een subcluster binnen de Lazarus Group, waardoor de mogelijkheid van een mogelijke samenwerking of een tactische overlap tussen de twee bedreigingsactoren wordt vergroot.

Het is bekend dat de Kimsuky-groep al sinds 2012 actief is, met zijn kwaadaardige cyberactiviteiten ook APT43, Black Banshee, Emerald Sleet (voorheen Thallium), Springtail, TA427 en Velvet Chollima.

Het wordt beschouwd als een ondergeschikt element van het 63rd Research Center, een element binnen het Reconnaissance General Bureau (RGB), de belangrijkste militaire inlichtingenorganisatie van het heremietkoninkrijk.

“De primaire missie van de Kimsuky-actoren is om gestolen gegevens en waardevol geopolitiek inzicht te verschaffen aan het Noord-Koreaanse regime door beleidsanalisten en andere experts in gevaar te brengen”, aldus het Amerikaanse Federal Bureau of Investigation (FBI) en de National Security Agency (NSA) in een waarschuwing. eerder deze maand.

“Succesvolle compromissen stellen Kimsuky-actoren verder in staat geloofwaardigere en effectievere spearphishing-e-mails te maken, die vervolgens kunnen worden ingezet tegen gevoeligere, waardevollere doelen.”

De tegenstander van de natiestaat is ook in verband gebracht met campagnes die een op C# gebaseerde trojan voor externe toegang en informatiedief leveren, genaamd TutorialRAT, die Dropbox gebruikt als een “basis voor hun aanvallen om het monitoren van bedreigingen te omzeilen”, aldus Symantec, eigendom van Broadcom.

“Deze campagne lijkt een uitbreiding te zijn van de BabyShark-bedreigingscampagne van APT43 en maakt gebruik van typische spear-phishing-technieken, waaronder het gebruik van snelkoppelingsbestanden (LNK)”, voegde het eraan toe.

De ontwikkeling komt op het moment dat het AhnLab Security Intelligence Center (ASEC) een campagne heeft uitgewerkt die werd georkestreerd door een andere Noord-Koreaanse, door de staat gesponsorde hackgroep genaamd ScarCruft, die zich richt op Zuid-Koreaanse gebruikers met Windows-snelkoppelingsbestanden (LNK) die culmineren in de implementatie van RokRAT.

Het vijandige collectief, ook bekend als APT37, InkySquid, RedEyes, Ricochet Chollima en Ruby Sleet, zou verbonden zijn met het Noord-Koreaanse Ministerie van Staatsveiligheid (MSS) en belast zijn met het vergaren van geheime inlichtingen ter ondersteuning van de strategische militaire, politieke strijdkrachten van het land. en economische belangen.

“De onlangs bevestigde snelkoppelingsbestanden (*.LNK) blijken gericht te zijn op Zuid-Koreaanse gebruikers, vooral op gebruikers die verband houden met Noord-Korea”, aldus ASEC.

Thijs Van der Does