Το Gomir Backdoor Threat που αναπτύχθηκε από μια προηγμένη επίμονη απειλή που εκκινεί κορεατικές κυβερνοεπιθέσεις
Η ομάδα προηγμένης επίμονης απειλής Kimsuky (APT), γνωστή και ως Springtail, ξεκίνησε μια νέα εκστρατεία κατασκοπείας στον κυβερνοχώρο. Αυτή η ομάδα, που συνδέεται με το Γενικό Γραφείο Αναγνώρισης της Βόρειας Κορέας (RGB), αναπτύσσει τώρα μια παραλλαγή Linux της κερκόπορτας GoBear, που ονομάζεται Gomir, στοχεύοντας οργανισμούς της Νότιας Κορέας.
Table of Contents
Φόντο για Kimsuky και GoBear
Η ομάδα Kimsuky έχει ιστορικό στόχευσης νοτιοκορεατικών οντοτήτων με διάφορα κακόβουλα προγράμματα. Η κερκόπορτα GoBear, στην οποία βασίζεται το Gomir, τεκμηριώθηκε για πρώτη φορά από τη νοτιοκορεατική εταιρεία ασφαλείας S2W στις αρχές Φεβρουαρίου 2024. Αυτή η καμπάνια παρέδωσε κακόβουλο λογισμικό που ονομάζεται Troll Stealer, το οποίο μοιράζεται χαρακτηριστικά με άλλες οικογένειες κακόβουλων προγραμμάτων Kimsuky, όπως το AppleSeed και το AlphaSeed.
Η εμφάνιση του Gomir
Σύμφωνα με την ομάδα Symantec Threat Hunter, το Gomir είναι σχεδόν πανομοιότυπο με το GoBear, με σημαντική επικάλυψη στον κώδικα μεταξύ των δύο. Οποιαδήποτε λειτουργικότητα που εξαρτάται από το λειτουργικό σύστημα στο GoBear είτε έχει παραλειφθεί είτε έχει εφαρμοστεί εκ νέου στο Gomir. Αυτό το backdoor υποστηρίζει έως και 17 εντολές, επιτρέποντας στους χειριστές του να εκτελούν διάφορες εργασίες, όπως λειτουργίες αρχείων, εκκίνηση αντίστροφου διακομιστή μεσολάβησης, παύση επικοινωνιών εντολών και ελέγχου (C2), εκτέλεση εντολών φλοιού και τερματισμό της δικής του διαδικασίας.
Μέθοδοι Διανομής
Το Κέντρο Πληροφοριών Ασφαλείας AhnLab (ASEC) ανακάλυψε ότι το κακόβουλο λογισμικό διανέμεται μέσω τρωανοποιημένων προγραμμάτων ασφαλείας που έχουν ληφθεί από έναν απροσδιόριστο ιστότοπο της ένωσης που σχετίζεται με τις κατασκευές της Νότιας Κορέας. Αυτά τα παραβιασμένα προγράμματα περιλαμβάνουν τα nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport και WIZVERA VeraPort. Συγκεκριμένα, το WIZVERA VeraPort είχε υποβληθεί στο παρελθόν σε επίθεση στην αλυσίδα εφοδιασμού λογισμικού από τον Όμιλο Lazarus το 2020.
Η Symantec παρατήρησε επίσης το Troll Stealer να παραδίδεται μέσω απατεώνων εγκαταστατών για το Wizvera VeraPort. Ωστόσο, ο ακριβής μηχανισμός διανομής αυτών των πακέτων εγκατάστασης παραμένει άγνωστος. Επιπλέον, το κακόβουλο λογισμικό διαδίδεται μέσω dropper που μεταμφιέζονται ως πλαστά προγράμματα εγκατάστασης για εφαρμογές που σχετίζονται με έναν κορεατικό οργανισμό μεταφορών.
Κοινή προέλευση και λειτουργικότητα
Η ανάλυση της Symantec δείχνει ότι το GoBear και το Gomir μοιράζονται ονόματα συναρτήσεων με μια παλαιότερη κερκόπορτα Springtail που ονομάζεται BetaSeed, γραμμένη σε C++. Αυτή η ομοιότητα υποδηλώνει μια κοινή προέλευση για αυτές τις απειλές. Και οι δύο παραλλαγές κακόβουλου λογισμικού υποστηρίζουν δυνατότητες εκτέλεσης εντολών που λαμβάνονται από απομακρυσμένο διακομιστή, υπογραμμίζοντας την ευελιξία τους και τις δυνατότητες για εκτεταμένες δραστηριότητες κατασκοπείας.
Συνέπειες και Συμπέρασμα
Αυτή η τελευταία εκστρατεία υπογραμμίζει την αυξανόμενη πολυπλοκότητα των Βορειοκορεατών φορέων της κυβερνοκατασκοπείας. Στοχεύοντας πακέτα εγκατάστασης λογισμικού και ενημερώσεις, μεγιστοποιούν τις πιθανότητες μόλυνσης των επιδιωκόμενων στόχων τους στη Νότια Κορέα. Οι προσεκτικά επιλεγμένοι στόχοι λογισμικού υποδεικνύουν μια στρατηγική προσέγγιση για την κατασκοπεία στον κυβερνοχώρο, με στόχο την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε ευαίσθητες πληροφορίες.
Η συνεχής εξέλιξη και ανάπτυξη κερκόπορτων όπως το GoBear και το Gomir απεικονίζουν την επίμονη απειλή που θέτει η ομάδα Kimsuky APT. Οι οργανισμοί, ιδιαίτερα στη Νότια Κορέα, πρέπει να παραμείνουν σε επαγρύπνηση και να ενισχύσουν τα μέτρα ασφάλειας στον κυβερνοχώρο για να αμυνθούν από τέτοιες περίπλοκες επιθέσεις.
