Gomir-bakdørstrusselen utplassert av en avansert vedvarende trussel som initierer koreanske cyberangrep
Kimsuky-gruppen for avansert vedvarende trussel (APT), også kjent som Springtail, har lansert en ny cyberspionasjekampanje. Denne gruppen, knyttet til Nord-Koreas Reconnaissance General Bureau (RGB), distribuerer nå en Linux-variant av GoBear-bakdøren sin, kalt Gomir, rettet mot sørkoreanske organisasjoner.
Table of Contents
Bakgrunn om Kimsuky og GoBear
Kimsuky-gruppen har en historie med å målrette mot sørkoreanske enheter med ulike skadevare. GoBear-bakdøren, som Gomir er basert på, ble først dokumentert av det sørkoreanske sikkerhetsfirmaet S2W tidlig i februar 2024. Denne kampanjen leverte skadelig programvare kalt Troll Stealer, som deler egenskaper med andre Kimsuky-skadevarefamilier som AppleSeed og AlphaSeed.
Fremveksten av Gomir
I følge Symantec Threat Hunter Team er Gomir nesten identisk med GoBear, med en betydelig overlapping i kode mellom de to. Enhver operativsystemavhengig funksjonalitet i GoBear er enten utelatt eller implementert på nytt i Gomir. Denne bakdøren støtter opptil 17 kommandoer, slik at operatørene kan utføre forskjellige oppgaver som filoperasjoner, starte en omvendt proxy, stoppe kommando-og-kontroll (C2) kommunikasjon, kjøre skallkommandoer og avslutte sin egen prosess.
Distribusjonsmetoder
AhnLab Security Intelligence Center (ASEC) oppdaget at skadelig programvare blir distribuert via trojaniserte sikkerhetsprogrammer lastet ned fra en uspesifisert sørkoreansk konstruksjonsrelatert forenings nettside. Disse kompromitterte programmene inkluderer nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport og WIZVERA VeraPort. Spesielt ble WIZVERA VeraPort tidligere utsatt for et programvareforsyningskjedeangrep av Lazarus Group i 2020.
Symantec observerte også at Troll Stealer ble levert gjennom useriøse installatører for Wizvera VeraPort. Den nøyaktige distribusjonsmekanismen til disse installasjonspakkene er imidlertid fortsatt ukjent. I tillegg spres skadelig programvare gjennom droppere som utgir seg for å være falske installatører for applikasjoner relatert til en koreansk transportorganisasjon.
Felles opprinnelse og funksjonalitet
Symantecs analyse indikerer at GoBear og Gomir deler funksjonsnavn med en eldre Springtail-bakdør kalt BetaSeed, skrevet i C++. Denne likheten antyder en felles opprinnelse for disse truslene. Begge malware-variantene støtter muligheter for å utføre kommandoer mottatt fra en ekstern server, og fremhever deres allsidighet og potensial for omfattende spionasjeaktiviteter.
Implikasjoner og konklusjon
Denne siste kampanjen understreker den økende sofistikeringen til nordkoreanske nettspionasjeaktører. Ved å målrette programvareinstallasjonspakker og oppdateringer, maksimerer de sjansene for å infisere deres tiltenkte sørkoreansk-baserte mål. De nøye utvalgte programvaremålene indikerer en strategisk tilnærming til cyberspionasje, med sikte på å få uautorisert tilgang til sensitiv informasjon.
Den fortsatte utviklingen og utplasseringen av bakdører som GoBear og Gomir illustrerer den vedvarende trusselen fra Kimsuky APT-gruppen. Organisasjoner, spesielt i Sør-Korea, må være årvåkne og forbedre sine cybersikkerhetstiltak for å forsvare seg mot slike sofistikerte angrep.
