A Gomir Backdoor fenyegetés, amelyet egy előrehaladott, tartós fenyegetés vetett ki, amely koreai kibertámadásokat kezdeményez
A Kimsuky fejlett tartós fenyegetés (APT) csoport, más néven Springtail új kiberkémkedési kampányt indított. Ez a csoport, amely az észak-koreai Reconnaissance General Bureau-hoz (RGB) kapcsolódik, most a GoBear backdoor Linux-változatát telepíti, Gomir néven, dél-koreai szervezeteket célozva meg.
Table of Contents
Kimsuky és GoBear háttér
A Kimsuky csoport már korábban is megcélozta dél-koreai entitásokat különféle rosszindulatú programokkal. A GoBear hátsó ajtót, amelyen a Gomir alapul, először a dél-koreai S2W biztonsági cég dokumentálta 2024 februárjának elején. Ez a kampány a Troll Stealer nevű rosszindulatú programot szállította, amely hasonló tulajdonságokkal rendelkezik a többi Kimsuky kártevőcsaláddal, mint például az AppleSeed és az AlphaSeed.
Gomir megjelenése
A Symantec Threat Hunter Team szerint a Gomir szinte teljesen megegyezik a GoBear-rel, a kettő kódjában jelentős átfedés van. A GoBear minden operációs rendszertől függő funkciója kimaradt, vagy újra be lett építve a Gomirban. Ez a hátsó ajtó legfeljebb 17 parancsot támogat, lehetővé téve az operátorok számára, hogy különféle feladatokat hajtsanak végre, például fájlműveleteket, fordított proxy indítást, parancs- és vezérlési (C2) kommunikáció szüneteltetését, shell-parancsok futtatását és saját folyamatának leállítását.
Elosztási módszerek
Az AhnLab Security Intelligence Center (ASEC) felfedezte, hogy a kártevőt trójai biztonsági programokon keresztül terjesztik, amelyeket egy meg nem határozott dél-koreai építkezéssel kapcsolatos egyesület webhelyéről töltöttek le. Ezek a feltört programok közé tartozik az nProtect Online Security, az NX_PRNMAN, a TrustPKI, az UbiReport és a WIZVERA VeraPort. Nevezetesen, hogy a WIZVERA VeraPortot korábban a Lazarus Group szoftverellátási lánc elleni támadás érte 2020-ban.
A Symantec azt is megfigyelte, hogy a Troll Stealert csaló telepítőkön keresztül szállítják a Wizvera VeraPort számára. Ezeknek a telepítőcsomagoknak a pontos terjesztési mechanizmusa azonban ismeretlen. Ezenkívül a rosszindulatú programokat hamis telepítőknek álcázó csepegtetők terjesztik egy koreai közlekedési szervezethez kapcsolódó alkalmazásokhoz.
Közös eredet és funkcionalitás
A Symantec elemzése azt jelzi, hogy a GoBear és a Gomir megosztja a függvényneveket egy régebbi, BetaSeed nevű Springtail háttérajtóval, amely C++ nyelven íródott. Ez a hasonlóság e fenyegetések közös eredetére utal. Mindkét rosszindulatú programváltozat támogatja a távoli kiszolgálóról kapott parancsok végrehajtásának képességét, kiemelve sokoldalúságukat és kiterjedt kémtevékenységek lehetőségét.
Következmények és következtetések
Ez a legújabb kampány rávilágít az észak-koreai kiberkémkedés szereplőinek egyre kifinomultabbra. A szoftvertelepítő csomagok és frissítések megcélzásával maximalizálják a dél-koreai alapú célpontok megfertőzésének esélyét. A gondosan kiválasztott szoftvercélpontok a kiberkémkedés stratégiai megközelítését jelzik, amelynek célja az érzékeny információkhoz való jogosulatlan hozzáférés.
Az olyan hátsó ajtók folyamatos fejlődése és telepítése, mint a GoBear és a Gomir, jól illusztrálja a Kimsuky APT csoport által jelentett tartós fenyegetést. A szervezeteknek, különösen Dél-Koreában, ébernek kell maradniuk, és fokozniuk kell kiberbiztonsági intézkedéseiket az ilyen kifinomult támadások elleni védekezés érdekében.
