Gomiro užpakalinių durų grėsmė, kurią iškėlė pažangi nuolatinė grėsmė, inicijuojanti Korėjos kibernetines atakas
Kimsuky pažangios nuolatinės grėsmės (APT) grupė, dar žinoma kaip Springtail, pradėjo naują kibernetinio šnipinėjimo kampaniją. Ši grupė, susijusi su Šiaurės Korėjos generaliniu žvalgybos biuru (RGB), dabar diegia savo „GoBear“ užpakalinių durų „Linux“ variantą, pavadintą „Gomir“, skirtą Pietų Korėjos organizacijoms.
Table of Contents
Kimsuky ir GoBear fonas
Kimsuky grupė jau seniai taikėsi į Pietų Korėjos subjektus su įvairiomis kenkėjiškomis programomis. „GoBear“ užpakalines duris, kuriomis remiasi Gomiras, pirmą kartą dokumentavo Pietų Korėjos saugos įmonė S2W 2024 m. vasario pradžioje. Šioje kampanijoje buvo pristatyta kenkėjiška programa „Troll Stealer“, kuri turi panašių savybių kaip ir kitų „Kimsuky“ kenkėjiškų programų šeimų, pvz., „AppleSeed“ ir „AlphaSeed“.
Gomiro atsiradimas
Anot „Symantec Threat Hunter Team“, „Gomiras“ yra beveik identiškas „GoBear“, o jų kodas labai sutampa. Bet kokios nuo operacinės sistemos priklausomos „GoBear“ funkcijos buvo praleistos arba iš naujo įdiegtos „Gomire“. Šios užpakalinės durys palaiko iki 17 komandų, leidžiančios operatoriams atlikti įvairias užduotis, pvz., failų operacijas, paleisti atvirkštinį tarpinį serverį, pristabdyti komandų ir valdymo (C2) ryšius, vykdyti apvalkalo komandas ir nutraukti savo procesą.
Paskirstymo metodai
„AhnLab Security Intelligence Center“ (ASEC) išsiaiškino, kad kenkėjiška programa platinama per trojanizuotas saugumo programas, atsisiųstas iš nenurodytos su statybomis susijusios Pietų Korėjos asociacijos svetainės. Šios pažeistos programos apima „nProtect Online Security“, „NX_PRNMAN“, „TrustPKI“, „UbiReport“ ir „WIZVERA VeraPort“. Pažymėtina, kad WIZVERA VeraPort anksčiau 2020 m. patyrė Lazarus grupės programinės įrangos tiekimo grandinės ataką.
„Symantec“ taip pat pastebėjo, kad „Troll Stealer“ buvo pristatytas per nesąžiningus „Wizvera VeraPort“ montuotojus. Tačiau tikslus šių diegimo paketų platinimo mechanizmas nežinomas. Be to, kenkėjiška programa platinama per lašintuvus, prisidengusius netikrais programų, susijusių su Korėjos transporto organizacija, diegėjais.
Bendra kilmė ir funkcionalumas
„Symantec“ analizė rodo, kad „GoBear“ ir „Gomir“ bendrina funkcijų pavadinimus su senesniu „Springtail“ užpakaliniu dureliu, vadinamu „BetaSeed“, parašyta C++. Šis panašumas rodo bendrą šių grėsmių kilmę. Abu kenkėjiškų programų variantai palaiko galimybes vykdyti komandas, gautas iš nuotolinio serverio, išryškindamos jų universalumą ir potencialą vykdyti plačią šnipinėjimo veiklą.
Pasekmės ir išvada
Ši naujausia kampanija pabrėžia didėjantį Šiaurės Korėjos kibernetinio šnipinėjimo veikėjų rafinuotumą. Taikydami programinės įrangos diegimo paketus ir naujinimus, jie maksimaliai padidina tikimybę užkrėsti numatytus Pietų Korėjos taikinius. Kruopščiai atrinkti programinės įrangos taikiniai rodo strateginį požiūrį į kibernetinį šnipinėjimą, kuriuo siekiama gauti neteisėtą prieigą prie jautrios informacijos.
Nuolatinis užpakalinių durų, tokių kaip GoBear ir Gomir, evoliucija ir diegimas iliustruoja nuolatinę Kimsuky APT grupės keliamą grėsmę. Organizacijos, ypač Pietų Korėjoje, turi išlikti budrios ir sustiprinti savo kibernetinio saugumo priemones, kad apsisaugotų nuo tokių sudėtingų atakų.
