新型态网络威胁：来自北朝鲜的Kimsuky组

关键要点

• Kaspersky在第一季度的APT趋势报告中揭示了北朝鲜Kimsuky威胁集团新出现的恶意软件Durian。
• Durian针对南韩加密货币公司发起网络攻击，具有强大的后门功能。
• 该恶意软件通过合法的南韩软件进行渗透，展现出复杂的攻击手法。
• Durian能够执行命令、下载文件并窃取数据，包括浏览器中的敏感信息。
• 讨论了Kimsuky与Lazarus集团下属的Andariel子群体之间潜在的合作。

根据Kaspersky的报告，北朝鲜威胁团体近期推出了一种名为Durian的新型恶意软件，对南韩的加密货币公司进行了针对性的网络攻击。该报告也被报道，强调了这种威胁的复杂性和隐蔽性。

Durian显示出广泛的后门功能，能够执行命令、下载文件以及进行数据窃取。根据Kaspersky的信息，攻击发生在2023年8月和11月，使用了合法的南韩软件进行渗透，具体细节尚不明确。

在连接至攻击者的服务器后，该恶意软件会启动一系列操作，安装其他恶意软件以保持持续性，并执行Durian。基于Golang的Durian进一步促进了多种恶意工具的部署，包括AppleSeed和一个名为LazyLoad的定制代理工具，旨在窃取数据，特别是浏览器中存储的敏感信息，如cookies和登录凭证。

使用LazyLoad这一工具或许暗示了Kimsuky与Lazarus集团下属的Andariel子群体之间的潜在合作。Kimsuky，亦被称为APT43，自2012年以来一直活跃，采用多个别名，并与北朝鲜的侦察总局有联系。

综上所述，Durian的出现代表了网络威胁的新阶段，企业需提高警惕，增强网络安全防护能力，以应对来自恶意软件的威胁。