ΑρχικήsecurityΟι Kimsuky hackers στοχεύουν crypto εταιρείες με το Durian malware

Οι Kimsuky hackers στοχεύουν crypto εταιρείες με το Durian malware

Οι Βορειοκορεάτες hackers Kimsuky διανέμουν ένα Golang malware, το οποίο ονομάζεται Durian και χρησιμοποιείται στα πλαίσια στοχευμένων επιθέσεων εναντίον δύο εταιρειών crypto της Νότιας Κορέας.

Durian malware

Το Durian malware διαθέτει ολοκληρωμένη λειτουργία backdoor, που επιτρέπει την εκτέλεση εντολών, λήψεις πρόσθετων αρχείων και εξαγωγή αρχείων“, ανέφερε η Kaspersky σε μια έκθεση.

Οι επιθέσεις, που σημειώθηκαν τον Αύγουστο και τον Νοέμβριο του 2023, περιελάμβαναν τη χρήση νόμιμου λογισμικού για την αρχική μόλυνση, αν και ο ακριβής μηχανισμός που χρησιμοποιήθηκε είναι επί του παρόντος ασαφής.

Αυτό που είναι γνωστό είναι ότι το λογισμικό δημιουργεί μια σύνδεση με τον διακομιστή του εισβολέα, για την ανάκτηση ενός κακόβουλου payload που ξεκινά τη μόλυνση.

Δείτε επίσης: Bορειοκορεάτες hackers παραβιάζουν οργανισμούς άμυνας της Νότιας Κορέας

Το πρώτο στάδιο χρησιμεύει ως πρόγραμμα εγκατάστασης για πρόσθετο κακόβουλο λογισμικό και ως μέσο για την εξασφάλιση persistence στον κεντρικό υπολογιστή. Ανοίγει επίσης το δρόμο για ένα loader malware που τελικά εκτελεί το Durian malware στις συσκευές των θυμάτων.

Το Durian μπορεί να εισαγάγει πρόσθετα κακόβουλα προγράμματα, συμπεριλαμβανομένου του AppleSeed, ενός custom proxy tool γνωστού ως LazyLoad, καθώς και άλλων νόμιμων εργαλείων όπως το ngrok και το Chrome Remote Desktop.

Βορειοκορεάτες hackers Kimsuky

Τελικός στόχος είναι η κλοπή δεδομένων, που είναι αποθηκευμένα στο πρόγραμμα περιήγησης, συμπεριλαμβανομένων των cookies και των διαπιστευτηρίων σύνδεσης.

Σύμφωνα με τους ερευνητές, η χρήση του LazyLoad είναι αξιοσημείωτη. Το εργαλείο έχει χρησιμοποιηθεί προηγουμένως από την Andariel, μια υπο-ομάδα του Lazarus Group. Αυτό σημαίνει ότι μπορεί να υπάρχει μια πιθανή συνεργασία μεταξύ των ομάδων.

Δείτε επίσης: Χάκερς από τη Βόρεια Κορέα ενσωματώνουν AI στις επιθέσεις τους

Οι Kimsuky hackers είναι ενεργοί τουλάχιστον από το 2012 και είναι επίσης γνωστοί ως APT43, Black Banshee, Emerald Sleet (πρώην Thallium), Springtail, TA427 και Velvet Chollima.

Εκτιμάται ότι οι Βορειοκορεάτες hackers είναι μέρος του 63ου Κέντρου Ερευνών, ενός τμήματος του Reconnaissance General Bureau (RGB), της κορυφαίας οργάνωσης στρατιωτικών πληροφοριών της χώρας.

Η πρωταρχική αποστολή των hackers Kimsuky είναι να παρέχουν κλεμμένα δεδομένα και πολύτιμη γεωπολιτική εικόνα στο καθεστώς της Βόρειας Κορέας, διακυβεύοντας πολιτικούς αναλυτές και άλλους ειδικούς“, ανέφεραν FBI και η NSA αυτό το μήνα.

Οι Kimsuky hackers στοχεύουν crypto εταιρείες με το Durian malware

Επιθέσεις από Βορειοκορεάτες hackers

Οι Βορειοκορεάτες hackers αποτελούν απειλή για την παγκόσμια ασφάλεια μέσω μιας σειράς επιθέσεων στον κυβερνοχώρο που στοχεύουν σε κρίσιμα συστήματα και δίκτυα. Αυτές οι επιθέσεις μπορούν να προκαλέσουν σημαντικές διαταραχές και να υπονομεύσουν την εμπιστοσύνη στα ψηφιακά συστήματα.

Δείτε επίσης: Οι Kimsuky hackers χρησιμοποιούν ScreenConnect bugs για διανομή του ToddleShark malware

Επιπλέον, έχουν δείξει την ικανότητά τους να διεισδύουν σε οικονομικά συστήματα, όπως τράπεζες και κρυπτονομίσματα, προκαλώντας οικονομική αστάθεια.

Τέλος, οι Βορειοκορεάτες hackers μπορούν να χρησιμοποιήσουν τις δεξιότητές τους για να κλέψουν ευαίσθητες πληροφορίες, όπως στρατιωτικά μυστικά ή πνευματικά δικαιώματα, προκαλώντας έτσι ζητήματα ασφάλειας και πολιτικές εντάσεις.

Πηγή: thehackernews.com

Digital Fortress
Digital Fortresshttps://secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS