韓国のサイバー攻撃を仕掛ける高度な持続的脅威によって展開された Gomir バックドアの脅威
キムスキー(Springtail としても知られる APT 攻撃グループ)が、新たなサイバースパイ活動を開始しました。北朝鮮の偵察総局(RGB)とつながりのあるこのグループは、現在、GoBear バックドアの Linux 版である Gomir を展開し、韓国の組織を標的にしています。
Table of Contents
Kimsuky と GoBear の背景
Kimsuky グループは、さまざまなマルウェアを使用して韓国の組織を標的にしてきた歴史があります。Gomir のベースとなっている GoBear バックドアは、2024 年 2 月初旬に韓国のセキュリティ会社 S2W によって初めて文書化されました。このキャンペーンでは、AppleSeed や AlphaSeed などの他の Kimsuky マルウェア ファミリーと特徴を共有する Troll Stealer と呼ばれるマルウェアが配信されました。
ゴミールの出現
Symantec Threat Hunter Team によると、Gomir は GoBear とほぼ同一で、両者のコードには大きな重複があります。GoBear のオペレーティング システムに依存する機能は、Gomir では省略されているか、再実装されています。このバックドアは最大 17 個のコマンドをサポートしており、ファイル操作、リバース プロキシの開始、コマンド アンド コントロール (C2) 通信の一時停止、シェル コマンドの実行、独自のプロセスの終了など、さまざまなタスクを実行できます。
配布方法
AhnLab セキュリティ インテリジェンス センター (ASEC) は、マルウェアが、韓国の建設関連団体の Web サイトからダウンロードされたトロイの木馬化されたセキュリティ プログラムを介して配布されていることを発見しました。侵害されたプログラムには、nProtect Online Security、NX_PRNMAN、TrustPKI、UbiReport、WIZVERA VeraPort などがあります。特に、WIZVERA VeraPort は、2020 年に Lazarus Group によるソフトウェア サプライ チェーン攻撃を受けたことがあります。
シマンテックは、Troll Stealer が Wizvera VeraPort の不正インストーラーを通じて配信されることも確認しました。ただし、これらのインストール パッケージの正確な配布メカニズムは不明です。さらに、このマルウェアは、韓国の運輸組織に関連するアプリケーションの偽インストーラーを装ったドロッパーを通じて拡散します。
共通の起源と機能
シマンテックの分析によると、GoBear と Gomir は、C++ で記述された BetaSeed と呼ばれる古い Springtail バックドアと関数名を共有しています。この類似性は、これらの脅威の起源が共通していることを示唆しています。両方のマルウェア バリアントは、リモート サーバーから受信したコマンドを実行する機能をサポートしており、その汎用性と広範なスパイ活動の可能性を浮き彫りにしています。
意味と結論
この最新の攻撃は、北朝鮮のサイバースパイ活動家がますます巧妙化していることを浮き彫りにしています。ソフトウェアのインストール パッケージと更新を標的にすることで、彼らは韓国を拠点とする標的に感染する可能性を最大限に高めています。ソフトウェアの標的を慎重に選択することは、機密情報への不正アクセスを狙ったサイバースパイ活動への戦略的なアプローチを示しています。
GoBear や Gomir のようなバックドアの継続的な進化と展開は、Kimsuky APT グループによる継続的な脅威を物語っています。特に韓国の組織は、このような高度な攻撃から身を守るために、警戒を怠らず、サイバーセキュリティ対策を強化する必要があります。
