Die Gomir-Backdoor-Bedrohung, die von einer Advanced Persistent Threat eingesetzt wird, die koreanische Cyberangriffe initiiert
Die Advanced Persistent Threat (APT)-Gruppe Kimsuky, auch bekannt als Springtail, hat eine neue Cyber-Spionage-Kampagne gestartet. Diese Gruppe, die mit dem nordkoreanischen Reconnaissance General Bureau (RGB) in Verbindung steht, setzt jetzt eine Linux-Variante ihrer GoBear-Hintertür namens Gomir ein und zielt damit auf südkoreanische Organisationen ab.
Table of Contents
Hintergrundinformationen zu Kimsuky und GoBear
Die Kimsuky-Gruppe hat in der Vergangenheit südkoreanische Unternehmen mit verschiedener Malware ins Visier genommen. Die GoBear-Hintertür, auf der Gomir basiert, wurde erstmals Anfang Februar 2024 von der südkoreanischen Sicherheitsfirma S2W dokumentiert. Diese Kampagne verbreitete Malware namens Troll Stealer, die Merkmale mit anderen Kimsuky-Malware-Familien wie AppleSeed und AlphaSeed teilt.
Die Entstehung von Gomir
Laut dem Symantec Threat Hunter Team ist Gomir nahezu identisch mit GoBear, wobei es erhebliche Codeüberschneidungen zwischen den beiden gibt. Alle betriebssystemabhängigen Funktionen in GoBear wurden in Gomir entweder weggelassen oder neu implementiert. Diese Hintertür unterstützt bis zu 17 Befehle, mit denen ihre Betreiber verschiedene Aufgaben ausführen können, wie z. B. Dateioperationen, das Starten eines Reverse-Proxys, das Anhalten von Command-and-Control-Kommunikationen (C2), das Ausführen von Shell-Befehlen und das Beenden des eigenen Prozesses.
Verteilungsmethoden
Das AhnLab Security Intelligence Center (ASEC) hat festgestellt, dass die Malware über trojanisierte Sicherheitsprogramme verbreitet wird, die von der Website eines nicht näher genannten südkoreanischen Bauverbands heruntergeladen wurden. Zu diesen kompromittierten Programmen gehören nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport und WIZVERA VeraPort. Insbesondere WIZVERA VeraPort war bereits 2020 Ziel eines Software-Supply-Chain-Angriffs der Lazarus Group.
Symantec beobachtete auch, dass Troll Stealer über betrügerische Installationsprogramme für Wizvera VeraPort verbreitet wurde. Der genaue Verbreitungsmechanismus dieser Installationspakete ist jedoch unbekannt. Darüber hinaus wird die Malware über Dropper verbreitet, die sich als gefälschte Installationsprogramme für Anwendungen einer koreanischen Transportorganisation tarnen.
Gemeinsame Ursprünge und Funktionalität
Die Analyse von Symantec zeigt, dass GoBear und Gomir dieselben Funktionsnamen haben wie eine ältere Springtail-Backdoor namens BetaSeed, die in C++ geschrieben ist. Diese Ähnlichkeit deutet auf einen gemeinsamen Ursprung dieser Bedrohungen hin. Beide Malware-Varianten unterstützen die Ausführung von Befehlen, die von einem Remote-Server empfangen wurden, was ihre Vielseitigkeit und ihr Potenzial für umfangreiche Spionageaktivitäten unterstreicht.
Implikationen und Schlussfolgerung
Diese jüngste Kampagne unterstreicht die zunehmende Raffinesse der nordkoreanischen Cyber-Spionage-Akteure. Indem sie Software-Installationspakete und -Updates ins Visier nehmen, maximieren sie die Chancen, ihre beabsichtigten südkoreanischen Ziele zu infizieren. Die sorgfältig ausgewählten Software-Ziele deuten auf einen strategischen Ansatz der Cyber-Spionage hin, mit dem Ziel, unbefugten Zugriff auf vertrauliche Informationen zu erlangen.
Die kontinuierliche Weiterentwicklung und Bereitstellung von Backdoors wie GoBear und Gomir verdeutlicht die anhaltende Bedrohung durch die APT-Gruppe Kimsuky. Unternehmen, insbesondere in Südkorea, müssen wachsam bleiben und ihre Cybersicherheitsmaßnahmen verbessern, um sich gegen derart ausgeklügelte Angriffe zu verteidigen.
