A ameaça backdoor Gomir implantada por uma ameaça persistente avançada que inicia ataques cibernéticos coreanos
O grupo Kimsuky de ameaças persistentes avançadas (APT), também conhecido como Springtail, lançou uma nova campanha de espionagem cibernética. Este grupo, ligado ao Reconnaissance General Bureau (RGB) da Coreia do Norte, está agora a implementar uma variante Linux da sua backdoor GoBear, chamada Gomir, visando organizações sul-coreanas.
Table of Contents
Antecedentes de Kimsuky e GoBear
O grupo Kimsuky tem um histórico de atacar entidades sul-coreanas com vários malwares. O backdoor GoBear, no qual Gomir se baseia, foi documentado pela primeira vez pela empresa de segurança sul-coreana S2W no início de fevereiro de 2024. Esta campanha entregou malware chamado Troll Stealer, que compartilha características com outras famílias de malware Kimsuky, como AppleSeed e AlphaSeed.
O Surgimento de Gomir
De acordo com a equipe Symantec Threat Hunter, Gomir é quase idêntico ao GoBear, com uma sobreposição significativa de código entre os dois. Qualquer funcionalidade dependente do sistema operacional no GoBear foi omitida ou reimplementada no Gomir. Este backdoor suporta até 17 comandos, permitindo que seus operadores executem diversas tarefas, como operações de arquivo, iniciando um proxy reverso, pausando comunicações de comando e controle (C2), executando comandos shell e encerrando seu próprio processo.
Métodos de distribuição
O AhnLab Security Intelligence Center (ASEC) descobriu que o malware está sendo distribuído por meio de programas de segurança trojanizados baixados do site de uma associação sul-coreana não especificada relacionada à construção. Esses programas comprometidos incluem nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort. Notavelmente, o WIZVERA VeraPort foi anteriormente submetido a um ataque à cadeia de fornecimento de software pelo Grupo Lazarus em 2020.
A Symantec também observou o Troll Stealer sendo entregue por meio de instaladores não autorizados do Wizvera VeraPort. No entanto, o mecanismo exato de distribuição destes pacotes de instalação permanece desconhecido. Além disso, o malware é propagado por meio de droppers disfarçados de instaladores falsos de aplicativos relacionados a uma organização de transporte coreana.
Origens e funcionalidades comuns
A análise da Symantec indica que GoBear e Gomir compartilham nomes de funções com um backdoor Springtail mais antigo chamado BetaSeed, escrito em C++. Esta semelhança sugere uma origem comum para estas ameaças. Ambas as variantes de malware suportam capacidades para executar comandos recebidos de um servidor remoto, destacando a sua versatilidade e potencial para extensas atividades de espionagem.
Implicações e Conclusão
Esta última campanha sublinha a crescente sofisticação dos actores de espionagem cibernética norte-coreanos. Ao visar pacotes de instalação de software e atualizações, eles maximizam as chances de infectar os alvos pretendidos baseados na Coreia do Sul. Os alvos de software cuidadosamente escolhidos indicam uma abordagem estratégica à espionagem cibernética, com o objetivo de obter acesso não autorizado a informações confidenciais.
A evolução contínua e a implantação de backdoors como GoBear e Gomir ilustram a ameaça persistente representada pelo grupo Kimsuky APT. As organizações, especialmente na Coreia do Sul, devem permanecer vigilantes e melhorar as suas medidas de segurança cibernética para se defenderem contra ataques tão sofisticados.
