Zagrożenie typu backdoor Gomir wykorzystywane przez zaawansowane trwałe zagrożenie inicjujące koreańskie cyberataki
Grupa Kimsuky Advanced Permanent Threat (APT), znana również jako Springtail, rozpoczęła nową kampanię cyberszpiegowską. Grupa ta, powiązana z Generalnym Biurem Rozpoznania Korei Północnej (RGB), wdraża obecnie linuksową wersję swojego backdoora GoBear o nazwie Gomir, atakując organizacje z Korei Południowej.
Table of Contents
Tło dotyczące Kimsuky i GoBear
Grupa Kimsuky od dawna atakuje podmioty z Korei Południowej za pomocą różnych złośliwych programów. Backdoor GoBear, na którym opiera się Gomir, został po raz pierwszy udokumentowany przez południowokoreańską firmę S2W zajmującą się bezpieczeństwem na początku lutego 2024 r. W ramach tej kampanii dostarczono szkodliwe oprogramowanie o nazwie Troll Stealer, które ma cechy wspólne z innymi rodzinami szkodliwego oprogramowania Kimsuky, takimi jak AppleSeed i AlphaSeed.
Pojawienie się Gomira
Według zespołu Symantec Threat Hunter Team Gomir jest prawie identyczny z GoBearem, ze znacznym nakładaniem się kodu na oba programy. Wszelkie funkcje zależne od systemu operacyjnego w GoBear zostały pominięte lub ponownie zaimplementowane w Gomirze. Ten backdoor obsługuje do 17 poleceń, umożliwiając operatorom wykonywanie różnych zadań, takich jak operacje na plikach, uruchamianie zwrotnego proxy, wstrzymywanie komunikacji typu Command-and-Control (C2), uruchamianie poleceń powłoki i kończenie własnego procesu.
Metody dystrybucji
Centrum wywiadowcze AhnLab Security Intelligence Center (ASEC) odkryło, że złośliwe oprogramowanie jest dystrybuowane za pośrednictwem trojanizowanych programów zabezpieczających pobranych z nieokreślonej strony internetowej południowokoreańskiego stowarzyszenia związanego z budownictwem. Do tych zainfekowanych programów należą nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport i WIZVERA VeraPort. Warto zauważyć, że WIZVERA VeraPort była już wcześniej przedmiotem ataku grupy Lazarus na łańcuch dostaw oprogramowania w 2020 r.
Firma Symantec zaobserwowała również, że Troll Stealer był dostarczany przez fałszywe instalatory oprogramowania Wizvera VeraPort. Jednakże dokładny mechanizm dystrybucji tych pakietów instalacyjnych pozostaje nieznany. Ponadto złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem dropperów udających fałszywe instalatory aplikacji powiązanych z koreańską organizacją transportową.
Wspólne pochodzenie i funkcjonalność
Analiza przeprowadzona przez firmę Symantec wskazuje, że nazwy funkcji GoBear i Gomir są takie same jak starszego backdoora Springtail o nazwie BetaSeed, napisanego w C++. Podobieństwo to sugeruje wspólne źródło tych zagrożeń. Obydwa warianty szkodliwego oprogramowania obsługują funkcje wykonywania poleceń otrzymanych ze zdalnego serwera, co podkreśla ich wszechstronność i potencjał w zakresie szeroko zakrojonych działań szpiegowskich.
Implikacje i wnioski
Ta najnowsza kampania podkreśla rosnące wyrafinowanie północnokoreańskich podmiotów zajmujących się cyberszpiegiem. Celując w pakiety instalacyjne i aktualizacje oprogramowania, maksymalizują ryzyko zainfekowania zamierzonych celów w Korei Południowej. Starannie wybrane cele oprogramowania wskazują na strategiczne podejście do cyberszpiegostwa, którego celem jest uzyskanie nieautoryzowanego dostępu do wrażliwych informacji.
Ciągła ewolucja i wdrażanie backdoorów, takich jak GoBear i Gomir, ilustruje ciągłe zagrożenie stwarzane przez grupę Kimsuky APT. Organizacje, szczególnie w Korei Południowej, muszą zachować czujność i udoskonalić swoje środki cyberbezpieczeństwa, aby chronić się przed tak wyrafinowanymi atakami.
