Você está visualizando atualmente Hackers Norte-Coreanos Implementam Novo Malware Golang ‘Durian’ Contra Empresas de Criptomoedas

Hackers Norte-Coreanos Implementam Novo Malware Golang ‘Durian’ Contra Empresas de Criptomoedas

O grupo de ameaças norte-coreano conhecido como Kimsuky foi observado implantando um malware baseado em Golang até então não documentado, chamado Durian, como parte de ataques cibernéticos altamente direcionados a duas empresas sul-coreanas de criptomoedas.

“O Durian possui funcionalidade abrangente de backdoor, permitindo a execução de comandos entregues, downloads de arquivos adicionais e exfiltração de arquivos”, afirmou a Kaspersky em seu relatório de tendências APT para o primeiro trimestre de 2024.

Os ataques, que ocorreram em agosto e novembro de 2023, envolveram o uso de software legítimo exclusivo da Coreia do Sul como caminho de infecção, embora o mecanismo exato usado para manipular o programa ainda não esteja claro.

Sabe-se que o software estabelece uma conexão com o servidor do atacante, levando à recuperação de uma carga maliciosa que inicia a sequência de infecção.

A primeira etapa serve como um instalador para malware adicional e um meio de estabelecer persistência no host. Ele também prepara o terreno para um malware de carregamento que eventualmente executa o Durian.

O Durian, por sua vez, é utilizado para introduzir mais malware, incluindo o AppleSeed, a backdoor de escolha do Kimsuky, uma ferramenta de proxy personalizada conhecida como LazyLoad, bem como outras ferramentas legítimas como ngrok e Chrome Remote Desktop.

“Por fim, o ator implantou o malware para roubar dados armazenados no navegador, incluindo cookies e credenciais de login”, disse a Kaspersky.

Um aspecto notável do ataque é o uso do LazyLoad, que já foi utilizado anteriormente pelo Andariel, um subcluster dentro do Grupo Lazarus, levantando a possibilidade de uma colaboração potencial ou de uma sobreposição tática entre os dois grupos de ameaças.

O grupo Kimsuky é conhecido por estar ativo desde pelo menos 2012, com suas atividades malignas também monitoradas sob os nomes APT43, Black Banshee, Emerald Sleet (anteriormente Thallium), Springtail, TA427 e Velvet Chollima.

Ele é avaliado como um elemento subordinado ao 63º Centro de Pesquisa, um departamento dentro do Bureau Geral de Reconhecimento (RGB), a principal organização de inteligência militar do reino ermitão.

“Missão primária dos atores do Kimsuky é fornecer dados roubados e insights geopolíticos valiosos ao regime norte-coreano, comprometendo analistas de políticas e outros especialistas”, disse o FBI e a NSA em um alerta no início deste mês.

“Ataques bem-sucedidos permitem ainda que os atores do Kimsuky criem e-mails de spear-phishing mais credíveis e eficazes, que podem então ser usados contra alvos mais sensíveis e de maior valor.”

O adversário de Estado-nação também tem sido ligado a campanhas de spear-phishing que entregam um trojan de acesso remoto baseado em C# e um ladrão de informações chamado TutorialRAT (também conhecido como TutRAT) que utiliza o Dropbox como “base para seus ataques para evadir a monitorização de ameaças”, disse a Symantec, da Broadcom.