در ۱۰ ژانویه سال ۲۰۲۴ بدافزار Info Stealer که با زبان GO نوشته شده است کشف شد. این بدافزار از طریق صفحه دانلود یک برنامه امنیتی بین قربانیان توزیع شده است. IP این صفحه دانلود مربوط به کره جنوبی میباشد که به یک بخش خاص ریدایرکت شده و در آن بدافزار مذکور را بهعنوان فایل نصبی یک برنامه امنیتی از SGA نمایان کرده و توسط قربانی دانلود میشود.
همچنین این بدافزار بهعنوان Dropper نیز شناسایی شده است، بهنحویکه با اجرای آن هم Installer اصلی برنامه امنیتی و هم بدافزار Info Stealer اجرا میشود. هر دو فایلهای Dropper و بدافزار داخلی (Info Stealer) با Certificate معتبر “D2innovation Co. LTD” امضا شده بود، درحالیکه برنامه Installer اصلی باید با گواهی “SGA solutions” امضا شده باشد.
فایل DLL که از طریق Dropper اضافه شده بود ، بد افزار سرقت اطلاعات نوشته شده به زبان گو بوده که با VMProtect پک شده بوده و شامل مسیر “D:/~/repo/golang/src/root.go/s/troll/agent” داخل آن میباشد. این بدافزار اطلاعات مختلفی را از سیستم قربانی جمعآوری میکند و آن را به یک سرور C&C ارسال میکند. بعد از برخی تحقیقات متوجه شدیم که بخشی از کد منبع (Source Code) را از بدافزارهای سرقت اطلاعات منبعباز (Open Source) استفاده کرده است.
گروههای تحقیقاتی بر این باور هستند که این مورد نیز از فعالیتهای گروه Kimsuky است، زیرا نمونه مذکور شباهتهایی به بدافزارهای قبلی این گروه دارد. بهعنوان نمونه یکی از نقاط تشابه آن، یک دستور نسبتاً قابلشناسایی برای جمعآوری اطلاعات سیستم در بدافزار AppleSeed است که از همان ترکیب RC4+RSA بکار رفته در بدافزار AlphaSeed استفاده کرده است.
اسم این بدافزار Troll Stealer نامگرفته زیرا در دایرکتوری همراه آن این اسم مشاهده شده است.
راه هایی برای کاهش این خطر پذیری
- استفاده از راهکارهای امنیتی مانند آنتیویروس و کمک به جلوگیری از ریداریکت های ناخواسته و مشکوک
- دانلود فایل و برنامه از منابع رسمی و معتبر
- آپدیت و بروز نگهداشتن از آخرین اخبار، حملات و تاکتیکها و تکنیکها
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده و جلوگیری از ایجاد فایل مخرب توسط Dropper
- جلوگیری از اجرای بدافزار
- جلوگیری از جمعآوری اطلاعات سیستم و ارتباط با سرور C&C
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Execution | Defense Evasion | Credential Access | Discovery | Collection | Exfiltration | Command and control |
| AppleScript | Access Token Manipulation | Account Manipulation | Account Discovery | Audio Capture | Automated Exfiltration | Web protocol |
| CMSTP | Binary Padding | Bash History | Application Window Discovery | Archive collected data | Data Compressed | |
| Command-Line Interface | BITS Jobs | Brute Force | Browser Bookmark Discovery | Automated Collection | Data Encrypted | |
| Compiled HTML File | Bypass User Account Control | Credential Dumping | Domain Trust Discovery | Clipboard Data | Data Transfer Size Limits | |
| Component Object Model and Distributed COM | Clear Command History | Credentials from Web Browsers | File and Directory Discovery | Data from Information Repositories | Exfiltration Over Alternative Protocol | |
| Control Panel Items | CMSTP | Credentials in Files | Local account | Data from Local System | Exfiltration Over Command and Control Channel | |
| Dynamic Data Exchange | Code Signing | Credentials in Registry | Network Service Scanning | Data from Network Shared Drive | Exfiltration Over Other Network Medium | |
| Execution through API | Compile After Delivery | Exploitation for Credential Access | Network Share Discovery | Data from Removable Media | Exfiltration Over Physical Medium | |
| Execution through Module Load | Compiled HTML File | Forced Authentication | Network Sniffing | Data Staged | Scheduled Transfer | |
| Exploitation for Client Execution | Component Firmware | Hooking | Password Policy Discovery | Email Collection | ||
| Graphical User Interface | Component Object Model Hijacking | Input Capture | Peripheral Device Discovery | Input Capture | ||
| InstallUtil | Connection Proxy | Input Prompt | Permission Groups Discovery | Man in the Browser | ||
| Launchctl | Control Panel Items | Kerberoasting | Process Discovery | Screen Capture | ||
| Local Job Scheduling | DCShadow | Keychain | Query Registry | Video Capture | ||
| LSASS Driver | Deobfuscate/Decode Files or Information | LLMNR/NBT-NS Poisoning and Relay | Remote System Discovery | |||
| Malicious File | Disabling Security Tools | Network Sniffing | Security Software Discovery | |||
| Mshta | DLL Search Order Hijacking | Password Filter DLL | Software Discovery | |||
| PowerShell | DLL Side-Loading | Private Keys | System Information Discovery | |||
| Regsvcs/Regasm | Execution Guardrails | Securityd Memory | System Network Configuration Discovery | |||
| Regsvr32 | Exploitation for Defense Evasion | Steal Web Session Cookie | System Network Connections Discovery | |||
| Rundll32 | Extra Window Memory Injection | Two-Factor Authentication Interception | System Owner/User Discovery | |||
| Scheduled Task | File and Directory Permissions Modification | System Service Discovery | ||||
| Scripting | File Deletion | System Time Discovery | ||||
| Service Execution | File System Logical Offsets | Virtualization/Sandbox Evasion | ||||
| Signed Binary Proxy Execution | Gatekeeper Bypass | |||||
| Signed Script Proxy Execution | Group Policy Modification | |||||
| Source | Hidden Files and Directories | |||||
| Space after Filename | Hidden Users | |||||
| Third-party Software | Hidden Window | |||||
| Trap | HISTCONTROL | |||||
| Trusted Developer Utilities | Image File Execution Options Injection | |||||
| Windows command shell | impair defenses | |||||
| User Execution | Indicator Blocking | |||||
| Windows Management Instrumentation | Indicator Removal from Tools | |||||
| Windows Remote Management | Indicator Removal on Host | |||||
| XSL Script Processing | Indirect Command Execution | |||||
| Install Root Certificate | ||||||
| InstallUtil | ||||||
| Launchctl | ||||||
| LC_MAIN Hijacking | ||||||
| Masquerading | ||||||
| Modify Registry | ||||||
| Mshta | ||||||
| Network Share Connection Removal | ||||||
| NTFS File Attributes | ||||||
| Obfuscated Files or Information | ||||||
| Parent PID Spoofing | ||||||
| Plist Modification | ||||||
| Port Knocking | ||||||
| Process Doppelgänging | ||||||
| Process Hollowing | ||||||
| Process Injection | ||||||
| Redundant Access | ||||||
| Regsvcs/Regasm | ||||||
| Regsvr32 | ||||||
| Rootkit | ||||||
| Rundll32 | ||||||
| Scripting | ||||||
| Signed Binary Proxy Execution | ||||||
| Signed Script Proxy Execution | ||||||
| SIP and Trust Provider Hijacking | ||||||
| Software Packing | ||||||
| Space after Filename | ||||||
| Template Injection | ||||||
| Timestomp | ||||||
| Trusted Developer Utilities | ||||||
| Valid Accounts | ||||||
| Virtualization/Sandbox Evasion | ||||||
| Web Service | ||||||
| XSL Script Processing |