Troll Stealer

北朝鮮と関係のある国民国家俳優キムスキーは、新たに確認された情報窃取マルウェアである Golang プログラミング言語に基づいて構築された Troll Stealer を展開したと考えられています。この脅威的なソフトウェアは、SSH 認証情報、FileZilla 情報、C ドライブのファイルとディレクトリ、ブラウザ データ、システムの詳細、画面キャプチャなど、さまざまな種類の機密データを侵害されたシステムから抽出するように設計されています。

Troll Stealer と Kimsuky の関係は、以前は同じ脅威アクター グループに関連付けられていた AppleSeed や AlphaSeed などのよく知られたマルウェア ファミリとの類似性から推測されます。

Kimsuky はアクティブな APT (Advanced Persistent Threat) グループです

Kimsuky は、APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet (旧名 Thallium)、Nickel Kimball、および Velvet Chollima とも呼ばれ、機密情報の窃取を目的とした攻撃的なサイバー作戦に従事する傾向があることで知られています。

2023年11月、米国財務省外国資産管理局（OFAC）は、北朝鮮の戦略目標を推進するための情報収集における役割を理由に、これらの脅威主体に制裁を課した。

この敵対的なグループは、AppleSeed や AlphaSeed を含むさまざまなバックドアを利用した、韓国企業を対象としたスピア フィッシング攻撃にも関与していると考えられています。

Troll Stealer マルウェアを導入する攻撃作戦

サイバーセキュリティ研究者によって実施された調査により、後続のスティーラー脅威を展開する任務を負ったドロッパーの利用が明らかになりました。このドロッパーは、SGA Solutions として知られる韓国企業が提供したとされるセキュリティ プログラムのインストール ファイルを装っています。スティーラーの名前は、その中に埋め込まれているパス「D:/~/repo/golang/src/root.go/s/troll/agent」に基づいています。

情報セキュリティの専門家が提供する洞察によると、ドロッパーはマルウェアと連携して正規のインストーラーとして動作します。ドロッパーとマルウェアはどちらも有効な D2Innovation Co., LTD 証明書の署名を持っており、同社の証明書が盗まれた可能性があることを示しています。

Troll Stealer の注目すべき特徴は、侵害されたシステム上の GPKI フォルダーを盗む機能であり、このマルウェアが国内の行政機関や公的機関を対象とした攻撃に使用された可能性を示唆しています。

キムシキーは戦術を進化させてアーセナルを脅かしている可能性がある

GPKI フォルダーの盗難に関する文書化された Kimsuky キャンペーンが存在しないことを考慮すると、観察された新たな行動は戦術の変更、またはソース コードへのアクセス権を持っている可能性のあるグループと密接な関係にある別の攻撃者の行動を示している可能性があるとの憶測があります。 AppleSeedとAlphaSeedの。

また、GoBear という名前の Go ベースのバックドアに脅威アクターが関与している可能性も指摘されています。このバックドアは、D2Innovation Co., LTD にリンクされた正規の証明書で署名されており、コマンド アンド コントロール (C2) サーバーからの指示に従います。

さらに、GoBear のコード内の関数名は、Kimsuky グループが使用する C++ ベースのバックドア マルウェアである BetaSeed で使用されるコマンドと重複しています。特に、GoBear は SOCKS5 プロキシ機能を導入しています。これは、Kimsuky グループに関連するバックドア マルウェアにはこれまで存在しなかった機能です。