Według doniesień ciesząca się złą sławą północnokoreańska grupa hakerska Kimsuky, znana również jako APT43, przeprowadzała cyberataki na dwie południowokoreańskie firmy krypto, wykorzystując wcześniej nieudokumentowane złośliwe oprogramowanie oparte na Golang o nazwie – Durian.
Jak wynika z ustaleń giganta rozwiązań cyberbezpieczeństwa firmy Kaspersky, Durian charakteryzuje się „kompleksową funkcjonalnością backdoora”. Ta funkcja umożliwia wykonywanie dostarczonych poleceń i pobieranie dodatkowych plików.
Według doniesień ataki miały miejsce w okresie od sierpnia do listopada 2023 r. i obejmowały południowokoreański exploit oprogramowania mający na celu uzyskanie pierwszego dostępu.
„Na podstawie naszej telemetrii zidentyfikowaliśmy dwie ofiary w południowokoreańskim sektorze kryptowalut. Pierwszy kompromis osiągnięto w sierpniu 2023 r., a drugi w listopadzie 2023 r.”.
Gdy złośliwe oprogramowanie zostało już zainstalowane i zaczęło działać w systemach ofiary, Durian wdrożył dodatkowe narzędzia, w tym backdoor AppleSeed firmy Kimsuky oraz niestandardowe narzędzie proxy o nazwie LazyLoad.
Co ciekawe, narzędzie LazyLoad łączy się z Andariel, podgrupą okrytego złą sławą Lazarusa. Rodzi to również podejrzenie stosowania wspólnej taktyki przez obie północnokoreańskie grupy zagrożeń, jak podaje Hacker News.
Według doniesień Kimsuky rozpoczął działalność co najmniej w 2012 r. i podlega Generalnemu Biuru Rozpoznania Korei Północnej (RGB), krajowej agencji wywiadu wojskowego.
Mafia pocztowa Kimsuky’ego
Grupa Kimsuky jest dobrze znana z przeprowadzania różnych ataków phishingowych za pośrednictwem poczty elektronicznej w celu kradzieży kryptowalut. Według raportów policyjnych między marcem a październikiem 2023 r. łącznie 1468 osób padło ofiarą hakerów krypto.
Wśród ofiar byli także emerytowani urzędnicy państwowi zajmujący się dyplomacją, wojskiem i bezpieczeństwem narodowym. Według doniesień sprawcy wysyłali wyglądające na wiarygodne e-maile phishingowe.
Wspierana przez państwo grupa hakerska obrała wcześniej za cel rosyjskie firmy z branży obrony powietrznej i kosmicznej, „wykorzystując pandemię koronaawirusa”.
Według raportu Kommersanta RT-Inform, dział bezpieczeństwa IT rosyjskiej państwowej agencji technologicznej Rostec, zauważył, że w czasie pandemii od kwietnia do września 2020 r. nastąpił wzrost liczby cyberataków na sieć informatyczną.