ΑρχικήSecurityKimsuky: Νέα απειλή Troll Stealer στοχεύει τη Νότια Κορέα

Kimsuky: Νέα απειλή Troll Stealer στοχεύει τη Νότια Κορέα

Οι Βορειοκορεάτες χάκερς, με την ονομασία Kimsuky, φαίνονται ύποπτοι ότι εκμεταλλεύτηκαν malware που βασίζεται στην Golang, γνωστό ως Troll Stealer.

Το κακόβουλο λογισμικό κλέβει αρχεία και καταλόγους από μονάδες δίσκου SSH, FileZilla, προγράμματα περιήγησης, πληροφορίες συστήματος και λήψεις οθόνης από μολυσμένα συστήματα, σύμφωνα με μια νέα έκθεση της νοτιοκορεάτικης εταιρείας κυβερνοασφάλειας S2W.

Διαβάστε ακόμη: Οι hackers Kimsuky στοχεύουν ερευνητικά κέντρα για διανομή backdoor

Οι συνδέσεις του Troll Stealer με τους Kimsuky προέρχονται από γνωστές οικογένειες κακόβουλου λογισμικού, όπως το AppleSeed.

#secnews #microsoft
Learn the shocking truth about Microsoft and Crowdstrike in this eye-opening video. Discover how their actions impact Greece and the rest of the world.
Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;
Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.
Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;
Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/
Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

#secnews #microsoft

Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;

Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.

Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;

Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/

Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llhsc0xwNDBseUtr

The Shocking Truth: Microsoft and Crowdstrike Exposed

SecNewsTV97 minutes ago

Οι Kimsuky, επίσης γνωστοί με τα ονόματα APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (προηγουμένως Thallium), Nickel Kimball και Velvet Chollima, είναι ευρέως γνωστός για την τάση του να κλέβει ευαίσθητες και εμπιστευτικές πληροφορίες από επιθετικές επιχειρήσεις στον κυβερνοχώρο.

Προς το τέλος του Νοεμβρίου του 2023, οι φορείς που αντιπροσωπεύουν μια απειλή επιβλήθηκαν κυρώσεις από το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των Ηνωμένων Πολιτειών (OFAC) για τη συλλογή πληροφοριών που στοχεύουν στην προώθηση των στρατηγικών στόχων της Βόρειας Κορέας.

Διαβάστε περισσότερα: ΗΠΑ: Κυρώσεις στους hackers Kimsuky της Βόρειας Κορέας

Η αντίπαλη ομάδα, τους τελευταίους μήνες, έχει εκτελέσει spear-phishing επιθέσεις που στοχεύουν νοτιοκορεάτικες οντότητες, με σκοπό να εισβάλλει στα συστήματά τους. Σε αυτές τις επιθέσεις χρησιμοποιούνται διάφορα backdoors, όπως τα AppleSeed και AlphaSeed.

Η τελευταία ανάλυση του S2W αποκαλύπτει τη χρήση ενός dropper που μεταμφιέζεται ως αρχείο εγκατάστασης προγράμματος ασφαλείας από μια εταιρεία της Νότιας Κορέας που ονομάζεται SGA Solutions για να ξεκινήσει το stealer, το οποίο πήρε το όνομά του από τη διαδρομή “D:/~/repo/golang/src/root .go/s/troll/agent” που είναι ενσωματωμένο σε αυτό.

«Το dropper εκτελείται ως νόμιμο πρόγραμμα εγκατάστασης μαζί με το κακόβουλο λογισμικό και τόσο το dropper όσο και το κακόβουλο λογισμικό έχουν υπογραφεί με ένα έγκυρο, νόμιμο πιστοποιητικό D2Innovation Co.,LTD», υποδηλώνοντας ότι το πιστοποιητικό της εταιρείας είχε πράγματι κλαπεί» σύμφωνα με την εταιρεία.

Kimsuky Troll Stealer

Ένα εξαιρετικό χαρακτηριστικό του Troll Stealer είναι η ικανότητά του να κλέβει τον φάκελο GPKI σε μολυσμένα συστήματα, αυξάνοντας την πιθανότητα το κακόβουλο λογισμικό να έχει χρησιμοποιηθεί σε επιθέσεις που στοχεύουν διοικητικούς και δημόσιους φορείς στη χώρα.

Δεδομένης της έλλειψης αποδείξεων για την κλοπή φακέλων GPKI από τον Kimsuky, αυξάνεται η πιθανότητα ότι η νέα συμπεριφορά είναι είτε αλλαγή στρατηγικής είτε απειλή από άλλο παράγοντα που σχετίζεται στενά με την ομάδα που έχει επίσης πρόσβαση στον αρχικό κώδικα του AppleSeed και AlphaSeed.
Υπάρχουν επίσης ενδείξεις ότι ο παράγοντας απειλής μπορεί να συνδέεται με μια κερκόπορτα που βασίζεται στην πλατφόρμα Go με την ονομασία GoBear. Αυτή η κερκόπορτα φέρει ένα νόμιμο πιστοποιητικό, το οποίο σχετίζεται με την εταιρεία D2Innovation Co. LTD, και λαμβάνει εντολές από έναν διακομιστή ελέγχου και εντολών (C2).

Δείτε επίσης: Οι χάκερ Kimsuky υποδύονται τους δημοσιογράφους για να κλέψουν πληροφορίες

Ο S2W δήλωσε ότι κατά την ανάλυση, διαπιστώθηκε ότι οι συμβολοσειρές που περιέχονται στα ονόματα των συναρτήσεων που καλούνται, επικαλύπτονται με τις εντολές που χρησιμοποιούνται από το κακόβουλο λογισμικό backdoor BetaSeed.

Το BetaSeed βασίζεται στη γλώσσα προγραμματισμού C++ και χρησιμοποιείται από την ομάδα Kimsuky. Επιπλέον, σημείωσε ότι το GoBear προσθέτει λειτουργικότητα διακομιστή μεσολάβησης SOCKS5, η οποία δεν υποστηριζόταν προηγουμένως από το κακόβουλο λογισμικό backdoor της συμμορίας Kimsuky.

Πηγή: thehackernews.com

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS