Você está visualizando atualmente Hackers Norte-Coreanos Desenvolvem Novo Malware ‘Durian’ Em Golang Contra Empresas de Criptomoedas

Hackers Norte-Coreanos Desenvolvem Novo Malware ‘Durian’ Em Golang Contra Empresas de Criptomoedas

O ator de ameaças norte-coreano rastreado como Kimsuky foi observado implantando um malware anteriormente não documentado baseado em Golang denominado Durian como parte de ataques cibernéticos altamente direcionados a duas empresas de criptomoedas sul-coreanas.

“O Durian possui funcionalidade abrangente de backdoor, permitindo a execução de comandos entregues, downloads adicionais de arquivos e exfiltração de arquivos”, disse o Kaspersky em seu relatório de tendências APT para o primeiro trimestre de 2024.

Os ataques, que ocorreram em agosto e novembro de 2023, envolveram o uso de um software legítimo exclusivo da Coreia do Sul como caminho de infecção, embora o mecanismo preciso usado para manipular o programa não seja atualmente claro.

Sabe-se que o software estabelece uma conexão com o servidor do atacante, levando à recuperação de uma carga maliciosa que inicia a sequência de infecção.

A primeira etapa serve como instalador para malware adicional e um meio de estabelecer persistência no host. Também abre caminho para um malware de carregamento que eventualmente executa o Durian.

O Durian, por sua vez, é usado para introduzir mais malware, incluindo AppleSeed, a backdoor de escolha da Kimsuky, uma ferramenta de proxy personalizada conhecida como LazyLoad, bem como outras ferramentas legítimas como ngrok e Chrome Remote Desktop.

“Por fim, o ator implantou o malware para roubar dados armazenados no navegador, incluindo cookies e credenciais de login”, disse o Kaspersky.

Um aspecto notável do ataque é o uso do LazyLoad, que já foi utilizado pelo Andariel, um subgrupo dentro do Grupo Lazarus, levantando a possibilidade de uma colaboração potencial ou uma sobreposição tática entre os dois atores de ameaças.

O grupo Kimsuky é conhecido por ser ativo desde pelo menos 2012, com suas atividades cibernéticas maliciosas também monitoradas sob os nomes APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 e Velvet Chollima.

É avaliado como um elemento subordinado ao 63º Centro de Pesquisa, um departamento dentro do Bureau Geral de Reconhecimento (RGB), a principal organização de inteligência militar do reino eremita.

“Missão principal dos atores Kimsuky é fornecer dados roubados e valiosa visão geopolítica ao regime norte-coreano comprometendo analistas de políticas e outros especialistas”, disseram o FBI e a NSA em um alerta mais cedo neste mês.

“As invasões bem-sucedidas permitem que os atores Kimsuky criem e-mails de spear-phishing mais credíveis e eficazes, que podem então ser alavancados contra alvos mais sensíveis e de maior valor.”