De Gomir Backdoor-dreiging ingezet door een geavanceerde aanhoudende dreiging die Koreaanse cyberaanvallen initieert
De Kimsuky Advanced Persistent Threat (APT)-groep, ook bekend als Springtail, heeft een nieuwe cyberspionagecampagne gelanceerd. Deze groep, verbonden aan het Reconnaissance General Bureau (RGB) van Noord-Korea, zet nu een Linux-variant van zijn GoBear-achterdeur in, genaamd Gomir, gericht op Zuid-Koreaanse organisaties.
Table of Contents
Achtergrondinformatie over Kimsuky en GoBear
De Kimsuky-groep heeft een geschiedenis van het aanvallen van Zuid-Koreaanse entiteiten met verschillende malware. De GoBear-achterdeur, waarop Gomir is gebaseerd, werd begin februari 2024 voor het eerst gedocumenteerd door het Zuid-Koreaanse beveiligingsbedrijf S2W. Deze campagne leverde malware op met de naam Troll Stealer, die kenmerken deelt met andere Kimsuky-malwarefamilies zoals AppleSeed en AlphaSeed.
De opkomst van Gomir
Volgens het Symantec Threat Hunter Team is Gomir vrijwel identiek aan GoBear, met een aanzienlijke overlap in code tussen de twee. Elke besturingssysteemafhankelijke functionaliteit in GoBear is weggelaten of opnieuw geïmplementeerd in Gomir. Deze achterdeur ondersteunt maximaal 17 opdrachten, waardoor de operators verschillende taken kunnen uitvoeren, zoals bestandsbewerkingen, het starten van een reverse proxy, het pauzeren van command-and-control (C2)-communicatie, het uitvoeren van shell-opdrachten en het beëindigen van het eigen proces.
Distributiemethoden
Het AhnLab Security Intelligence Center (ASEC) ontdekte dat de malware wordt verspreid via trojan-beveiligingsprogramma's die zijn gedownload van de website van een niet nader genoemde Zuid-Koreaanse bouwgerelateerde vereniging. Deze gecompromitteerde programma's omvatten nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport en WIZVERA VeraPort. Met name WIZVERA VeraPort werd in 2020 eerder onderworpen aan een software supply chain-aanval door de Lazarus Group.
Symantec zag ook dat Troll Stealer werd geleverd via frauduleuze installatieprogramma's voor Wizvera VeraPort. Het exacte distributiemechanisme van deze installatiepakketten blijft echter onbekend. Bovendien wordt de malware verspreid via droppers die zich voordoen als nep-installatieprogramma's voor applicaties die verband houden met een Koreaanse transportorganisatie.
Gemeenschappelijke oorsprong en functionaliteit
Uit de analyse van Symantec blijkt dat GoBear en Gomir functienamen delen met een oudere Springtail-achterdeur genaamd BetaSeed, geschreven in C++. Deze gelijkenis suggereert een gemeenschappelijke oorsprong voor deze bedreigingen. Beide malwarevarianten ondersteunen mogelijkheden om opdrachten uit te voeren die worden ontvangen van een externe server, wat hun veelzijdigheid en potentieel voor uitgebreide spionageactiviteiten benadrukt.
Implicaties en conclusie
Deze nieuwste campagne onderstreept de toenemende verfijning van Noord-Koreaanse cyberspionageactoren. Door zich te richten op software-installatiepakketten en -updates maximaliseren ze de kansen om hun beoogde Zuid-Koreaanse doelwitten te infecteren. De zorgvuldig gekozen softwaredoelen duiden op een strategische aanpak van cyberspionage, gericht op het verkrijgen van ongeautoriseerde toegang tot gevoelige informatie.
De voortdurende evolutie en inzet van achterdeurtjes zoals GoBear en Gomir illustreren de aanhoudende dreiging die uitgaat van de Kimsuky APT-groep. Organisaties, vooral in Zuid-Korea, moeten waakzaam blijven en hun cyberbeveiligingsmaatregelen verbeteren ter verdediging tegen dergelijke geavanceerde aanvallen.
