Troll Stealer
L’acteur étatique Kimsuky, associé à la Corée du Nord, aurait déployé un malware de vol d’informations récemment identifié, le Troll Stealer, construit sur le langage de programmation Golang. Ce logiciel menaçant est conçu pour extraire divers types de données sensibles, notamment les informations d'identification SSH, les informations FileZilla, les fichiers et répertoires du lecteur C, les données du navigateur, les détails du système et les captures d'écran, entre autres, de systèmes compromis.
Le lien entre Troll Stealer et Kimsuky est déduit de ses ressemblances avec des familles de logiciels malveillants bien connues comme AppleSeed et AlphaSeed, tous deux auparavant liés au même groupe d'acteurs menaçants.
Table des matières
Kimsuky est un groupe actif APT (Advanced Persistent Threat)
Kimsuky, alternativement identifié comme APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anciennement Thallium), Nickel Kimball et Velvet Chollima, est réputé pour sa propension à s'engager dans des cyber-opérations offensives visant à voler des informations sensibles et confidentielles.
En novembre 2023, l'Office of Foreign Assets Control (OFAC) du Département du Trésor américain a imposé des sanctions à ces acteurs menaçants pour leur rôle dans la collecte de renseignements visant à faire avancer les objectifs stratégiques de la Corée du Nord.
Ce groupe antagoniste a également été associé à des attaques de spear phishing dirigées contre des entités sud-coréennes, utilisant diverses portes dérobées, notamment AppleSeed et AlphaSeed.
L’opération d’attaque déployant le logiciel malveillant Troll Stealer
Un examen mené par des chercheurs en cybersécurité a révélé l'utilisation d'un compte-gouttes chargé de déployer la menace de vol ultérieure. Le compte-gouttes se déguise en fichier d'installation d'un programme de sécurité provenant prétendument d'une société sud-coréenne connue sous le nom de SGA Solutions. Quant au nom du voleur, il est basé sur le chemin 'D:/~/repo/golang/src/root.go/s/troll/agent' qui y est intégré.
Selon les informations fournies par les experts en sécurité de l’information, le compte-gouttes fonctionne comme un installateur légitime en conjonction avec le logiciel malveillant. Le compte-gouttes et le malware portent tous deux la signature d'un certificat D2Innovation Co., LTD valide, indiquant un vol potentiel du certificat de l'entreprise.
Une caractéristique notable de Troll Stealer est sa capacité à voler le dossier GPKI sur des systèmes compromis, ce qui laisse entrevoir la probabilité que le logiciel malveillant ait été utilisé dans des attaques dirigées contre des organisations administratives et publiques du pays.
Kimsiky pourrait faire évoluer ses tactiques et menacer Arsenal
À la lumière de l'absence de campagnes documentées de Kimsuky impliquant le vol de dossiers GPKI, il y a des spéculations selon lesquelles le nouveau comportement observé pourrait signifier un changement de tactique ou les actions d'un autre acteur menaçant étroitement affilié au groupe, possédant potentiellement accès au code source. d'AppleSeed et AlphaSeed.
Des indications pointent également vers l’implication potentielle de l’acteur menaçant dans une porte dérobée basée sur Go nommée GoBear. Cette porte dérobée est signée avec un certificat légitime lié à D2Innovation Co., LTD et suit les instructions d'un serveur de commande et de contrôle (C2).
De plus, les noms de fonctions dans le code de GoBear chevauchent les commandes utilisées par BetaSeed, un malware de porte dérobée basé sur C++ utilisé par le groupe Kimsuky. Notamment, GoBear introduit la fonctionnalité proxy SOCKS5, une fonctionnalité qui n'était pas présente auparavant dans le malware de porte dérobée associé au groupe Kimsuky.
