Sommario
Recentemente, è stato rivelato che un gruppo di minaccia nordcoreano noto come Kimsuky ha lanciato attacchi sofisticati contro aziende di criptovalute in Corea del Sud implementando un malware Golang inedito, soprannominato “Durian”, che dimostra capacità avanzate di backdoor e viene utilizzato in attacchi mirati ad alto livello.
Funzionalità di Durian
Durian offre una funzionalità di backdoor completa, consentendo l’esecuzione di comandi inviati, il download di file aggiuntivi e l’esfiltrazione di file. L’attacco impiega software legittimi esclusivi della Corea del Sud come via di infezione, sebbene il meccanismo preciso utilizzato per manipolare il programma non sia ancora chiaro.
Una volta stabilita una connessione con il server dell’attaccante, viene recuperato un payload dannoso che avvia la sequenza di infezione. La prima fase funge da installatore per ulteriori malware e come mezzo per stabilire persistenza sul dispositivo ospitante, preparando la strada per un malware loader che esegue poi Durian.
Ulteriori strumenti di Malware
Durian è utilizzato per introdurre altro malware, inclusi AppleSeed, uno degli strumenti di backdoor principali di Kimsuky, uno strumento proxy personalizzato conosciuto come LazyLoad, oltre a strumenti legittimi come ngrok e Chrome Remote Desktop. L’obiettivo finale dell’attore è rubare dati memorizzati nel browser, inclusi cookie e credenziali di accesso.
Collaborazione o sovrapposizione tattica
Un aspetto notevole dell’attacco è l’uso di LazyLoad, precedentemente impiegato da Andariel, un sottogruppo del Lazarus Group, sollevando la possibilità di una collaborazione potenziale o di una sovrapposizione tattica tra i due attori di minaccia.
Storia e obiettivi di Kimsuky
Il gruppo Kimsuky, qui la storia completa, è attivo dal 2012, conducendo attività cyber malevole come parte del 63° Centro di Ricerca, un elemento all’interno del Bureau Generale di Ricognizione (RGB), l’organizzazione di intelligence militare di primo piano della Corea del Nord. La principale missione degli attori di Kimsuky è fornire dati rubati e intuizioni geopolitiche preziose al regime nordcoreano compromettendo analisti politici ed esperti.
Questo sviluppo sottolinea l’aggressività e la sofisticatezza delle campagne di cyber spionaggio nordcoreane, specialmente nel contesto delle tensioni geopolitiche e del panorama globale della sicurezza. La comunità internazionale rimane vigile di fronte a queste minacce, mentre le entità colpite devono rafforzare la loro sicurezza informatica per mitigare l’impatto di tali attacchi avanzati.
