Il fatto:
Il threat actor nordcoreano noto come Kimsuky ha recentemente lanciato attacchi mirati contro due società di criptovalute sudcoreane, utilizzando un malware basato su Golang chiamato Durian. Secondo il rapporto sulle tendenze APT di Kaspersky per il primo trimestre del 2024, Durian opera tramite una complessa backdoor, consentendo l’esecuzione di comandi, il download di file aggiuntivi e l’esfiltrazione di dati.
Metodo d’Attacco e Diffusione del Malware:
L’Attacco di Kimsuky con il Malware Durian, avvenut ad agosto e novembre 2023, ha sfruttato un software legittimo esclusivo della Corea del Sud come vettore d’attacco, sebbene il meccanismo preciso utilizzato per manipolare il programma non sia ancora chiaro. Tuttavia, si sa che il software stabilisce una connessione al server degli hacker, portando al recupero di un payload dannoso che avvia la sequenza d’infezione.
Funzionamento del Malware Durian:
Durian, a sua volta, è impiegato per inoculare ulteriori malware, tra cui AppleSeed, il backdoor di scelta del gruppo Kimsuky, uno strumento proxy personalizzato noto come LazyLoad, nonché altri strumenti legittimi come ngrok e Chrome Remote Desktop. In definitiva, l’obiettivo del threat actor era quello di sottrarre dati memorizzati nel browser, tra cui cookie e credenziali di accesso.
Coinvolgimento di threat actors Correlati:
Un aspetto interessante dell’attacco è l’uso di LazyLoad, precedentemente utilizzato anche da Andariel, un sotto-cluster all’interno del gruppo Lazarus, sollevando la possibilità di una potenziale collaborazione o sovrapposizione tattica tra questi attori malevoli.
Identificazione e Azioni delle Autorità:
Il gruppo Kimsuky è attivo almeno dal 2012 e ha condotto malevoli cyber attacchi anche sotto i nomi di APT43, Black Banshee, Emerald Sleet, Springtail, TA427 e Velvet Chollima. Le autorità statunitensi hanno avvertito che gli attori Kimsuky mirano principalmente a fornire dati rubati e preziose informazioni geopolitiche al regime nordcoreano, compromettendo analisti e altri esperti di politica.
La scoperta di attività malevole come questa sottolinea l’importanza di adottare misure di sicurezza robuste, come l’implementazione di autenticazione a due fattori e la formazione degli utenti per riconoscere e prevenire attacchi di phishing. Le aziende e gli utenti devono essere vigili e preparati a fronteggiare minacce sempre più sofisticate provenienti da attori statali e non.
