✅ レポートタイトル: Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer

✅ レポートの要約：

- ハンティングされたマルウェアは、感染したシステムの情報を奪取するGo言語で作成された情報奪取型マルウェアで、SGA Solutionsのセキュリティプログラムインストールファイル(TrustPKI、NX_PRNMAN)に偽装したDropperからドロップされ実行される

- Dropper実行時にマルウェアと共に正常インストールファイルとして同時に実行され、マルウェアと正常インストールファイルの両方が有効な正常「D2innovation Co., LTD」証明書に署名されたという点で、実際に該当企業の証明書が奪われた可能性が存在する

- S2W 「Talon」チームはマルウェア内に "D:/~/repo/golang/src/root.go/s/troll/agent" という経路名が含まれているという点で、該当マルウェアを「Troll Stealer」と命名

- （主な機能）   「Troll Stealer」は、感染したシステムの情報（SSH、FileZilla、Cドライブファイル/ディレクトリ、ブラウザ、システム情報、画面キャプチャ）を奪取した後、C&Cサーバに転送する機能が存在

- （Kimsukyグループとの関連性）   Kimsukyグループが最近Go言語基盤のマルウェアを活発に使用している点と、「Troll Stealer」に既存のKimsukyグループに関連するマルウェア「Apple Seed」と「AlphaSEed」に類似したコードが多数使われた点を根拠に、Kimsukyグループが該当マルウェアをばら撒いた背後に存在するものと推測

- （攻撃対象）   「Troll Stealer」は、感染したシステム上のGPKIフォルダを奪取する機能を含んでおり、この点から今回の攻撃キャンペーンが韓国の行政及び公共機関内の装置を対象に行われたものと推定される

✅ レポート全文を読む：https://medium.com/s2wblog/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2

🧑‍💻 レポート作成者: BLKSMTH (脅威分析チーム) | S2W Talon

👉 お問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。