Troll Stealer: коварный «тролль» из Северной Кореи охотится за вашими секретами

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Особенно хорошо хакерам удается красть сертификаты GPKI у южных соседей.

В недавнем отчете южнокорейской компании S2W был раскрыт новый вид вредоносного программного обеспечения на основе языка Golang, получивший название Troll Stealer . Этот инструмент, который связывают с деятельностью северокорейской группы Kimsuky, специализируется на изъятии конфиденциальных данных с компьютеров жертв. Среди украденной информации — данные SSH и FileZilla, содержимое диска C, данные из браузеров, системная информация и снимки экрана.

Связь Troll Stealer с Kimsuky была установлена на основе сходства с другими разработками этой группы — AppleSeed и AlphaSeed.

Сама Kimsuky известна под множеством наименований, включая APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Nickel KimballиVelvet Chollima. Она уже долгое время находится в центре внимания экпертов, проводя сложные кибероперации по сбору разведданных в интересах Северной Кореи. Основной их фокус — государственные секреты, коммерческие и финансовые сведения, а также данные, касающиеся безопасности и обороны.

Забудь про блокировки! VPN через Телеграмм-бот для России!

В ноябре 2023 года против Kimsuky были введены санкции Управлением по контролю за иностранными активами Минфина США.

По данным S2W, Troll Stealer распространяется с помощью дроппера, замаскированного под инсталлятор ПО от южнокорейской компании SGA Solutions. Интересно, что дроппер работает параллельно с самим вредоносом, причём оба файла подписаны валидным сертификатом компании D2Innovation Co.,LTD. Вероятно, сертификат был скомпрометирован.

Способность красть сертификаты GPKI, выдаваемые правительством Южной Кореи является отличительной чертой Troll Stealer. GPKI представляют собой цифровые удостоверения личности для использования электронных государственных сервисов. Так как ранее за Kimsuky подобного не замечали, это указывает либо на смену тактики, либо на то, что доступ к исходному коду вредоносного софта Kimsuky получила другая тесно связанная с ней хакерская группировка.

  Удивительное открытие или научная ошибка? История Homo naledi не выдерживает критики

В пользу второй версии говорит обнаружение признаков связи Kimsuky с бэкдором GoBear, который также использует украденный сертификат D2Innovation. Функционал GoBear пересекается с другим бэкдором Kimsuky — BetaSeed. Однако GoBear, в отличие от предыдущих разработок группы, поддерживает технологию проксирования SOCKS5.

Ваши гаджеты следят за вами. Мы знаем, как это остановить!

Присоединяйтесь

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.