La menace de porte dérobée Gomir déployée par une menace persistante avancée initiant des cyberattaques coréennes

Le groupe Kimsuky Advanced Persistant Threat (APT), également connu sous le nom de Springtail, a lancé une nouvelle campagne de cyberespionnage. Ce groupe, lié au Reconnaissance General Bureau (RGB) nord-coréen, déploie désormais une variante Linux de sa porte dérobée GoBear, nommée Gomir, ciblant les organisations sud-coréennes.

Contexte sur Kimsuky et GoBear

Le groupe Kimsuky a l’habitude de cibler des entités sud-coréennes avec divers logiciels malveillants. La porte dérobée GoBear, sur laquelle Gomir est basé, a été documentée pour la première fois par la société de sécurité sud-coréenne S2W début février 2024. Cette campagne a généré un logiciel malveillant appelé Troll Stealer, qui partage des caractéristiques avec d'autres familles de logiciels malveillants Kimsuky comme AppleSeed et AlphaSeed.

L'émergence de Gomir

Selon l'équipe Symantec Threat Hunter, Gomir est presque identique à GoBear, avec un chevauchement important de code entre les deux. Toute fonctionnalité dépendante du système d'exploitation dans GoBear a été soit omise, soit réimplémentée dans Gomir. Cette porte dérobée prend en charge jusqu'à 17 commandes, permettant à ses opérateurs d'exécuter diverses tâches telles que des opérations sur les fichiers, le démarrage d'un proxy inverse, la pause des communications de commande et de contrôle (C2), l'exécution de commandes shell et la fin de son propre processus.

Méthodes de distribution

L'AhnLab Security Intelligence Center (ASEC) a découvert que le malware était distribué via des programmes de sécurité trojanisés téléchargés à partir du site Web d'une association sud-coréenne non spécifiée liée au secteur de la construction. Ces programmes compromis incluent nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport et WIZVERA VeraPort. Notamment, WIZVERA VeraPort a déjà été soumis à une attaque de chaîne d'approvisionnement logicielle par le groupe Lazarus en 2020.

Symantec a également observé que Troll Stealer était livré via des installateurs malveillants pour Wizvera VeraPort. Cependant, le mécanisme de distribution exact de ces packages d'installation reste inconnu. De plus, le malware se propage via des compte-gouttes se faisant passer pour de faux installateurs d'applications liées à une organisation de transport coréenne.

Origines communes et fonctionnalités

L'analyse de Symantec indique que GoBear et Gomir partagent des noms de fonctions avec une ancienne porte dérobée Springtail appelée BetaSeed, écrite en C++. Cette similitude suggère une origine commune à ces menaces. Les deux variantes de logiciels malveillants prennent en charge la capacité d'exécuter des commandes reçues d'un serveur distant, soulignant leur polyvalence et leur potentiel pour des activités d'espionnage étendues.

Implications et conclusion

Cette dernière campagne souligne la sophistication croissante des acteurs nord-coréens du cyberespionnage. En ciblant les packages d'installation de logiciels et les mises à jour, ils maximisent les chances d'infecter leurs cibles sud-coréennes. Les cibles logicielles soigneusement choisies indiquent une approche stratégique du cyberespionnage, visant à obtenir un accès non autorisé à des informations sensibles.

L’évolution continue et le déploiement de portes dérobées comme GoBear et Gomir illustrent la menace persistante posée par le groupe Kimsuky APT. Les organisations, notamment en Corée du Sud, doivent rester vigilantes et renforcer leurs mesures de cybersécurité pour se défendre contre des attaques aussi sophistiquées.