La minaccia backdoor Gomir implementata da una minaccia persistente avanzata che avvia attacchi informatici coreani
Il gruppo Kimsuky Advanced Persistent Threat (APT), noto anche come Springtail, ha lanciato una nuova campagna di spionaggio informatico. Questo gruppo, collegato al Reconnaissance General Bureau (RGB) della Corea del Nord, sta ora implementando una variante Linux della sua backdoor GoBear, denominata Gomir, prendendo di mira le organizzazioni sudcoreane.
Table of Contents
Informazioni su Kimsuky e GoBear
Il gruppo Kimsuky ha una storia di prendere di mira entità sudcoreane con vari malware. La backdoor GoBear, su cui si basa Gomir, è stata documentata per la prima volta dalla società di sicurezza sudcoreana S2W all'inizio di febbraio 2024. Questa campagna ha diffuso un malware chiamato Troll Stealer, che condivide caratteristiche con altre famiglie di malware Kimsuky come AppleSeed e AlphaSeed.
L'emergere di Gomir
Secondo il Symantec Threat Hunter Team, Gomir è quasi identico a GoBear, con una significativa sovrapposizione di codice tra i due. Qualsiasi funzionalità dipendente dal sistema operativo in GoBear è stata omessa o reimplementata in Gomir. Questa backdoor supporta fino a 17 comandi, consentendo ai suoi operatori di eseguire varie attività come operazioni sui file, avviare un proxy inverso, sospendere le comunicazioni di comando e controllo (C2), eseguire comandi di shell e terminare il proprio processo.
Metodi di distribuzione
L'AhnLab Security Intelligence Center (ASEC) ha scoperto che il malware viene distribuito tramite programmi di sicurezza contenenti trojan scaricati dal sito web di un'associazione sudcoreana legata all'edilizia non meglio specificata. Questi programmi compromessi includono nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort. In particolare, WIZVERA VeraPort è stata precedentemente sottoposta a un attacco alla catena di fornitura di software da parte del Gruppo Lazarus nel 2020.
Symantec ha inoltre osservato che Troll Stealer veniva distribuito tramite programmi di installazione non autorizzati per Wizvera VeraPort. Tuttavia, l'esatto meccanismo di distribuzione di questi pacchetti di installazione rimane sconosciuto. Inoltre, il malware viene propagato tramite dropper mascherati da falsi programmi di installazione di applicazioni relative a un'organizzazione di trasporti coreana.
Origini e funzionalità comuni
L'analisi di Symantec indica che GoBear e Gomir condividono i nomi delle funzioni con una vecchia backdoor Springtail chiamata BetaSeed, scritta in C++. Questa somiglianza suggerisce un’origine comune per queste minacce. Entrambe le varianti di malware supportano la capacità di eseguire comandi ricevuti da un server remoto, evidenziandone la versatilità e il potenziale per estese attività di spionaggio.
Implicazioni e conclusioni
Quest’ultima campagna sottolinea la crescente sofisticatezza degli attori dello spionaggio informatico nordcoreani. Prendendo di mira i pacchetti di installazione e gli aggiornamenti del software, massimizzano le possibilità di infettare i target previsti con sede in Corea del Sud. Gli obiettivi software scelti con cura indicano un approccio strategico allo spionaggio informatico, che mira a ottenere l’accesso non autorizzato a informazioni sensibili.
La continua evoluzione e implementazione di backdoor come GoBear e Gomir illustrano la persistente minaccia rappresentata dal gruppo Kimsuky APT. Le organizzazioni, in particolare in Corea del Sud, devono rimanere vigili e rafforzare le proprie misure di sicurezza informatica per difendersi da attacchi così sofisticati.
