Угроза бэкдора Gomir, развернутая усовершенствованной постоянной угрозой, инициирующей корейские кибератаки
Группа продвинутых постоянных угроз Кимсуки (APT), также известная как Springtail, начала новую кампанию кибершпионажа. Эта группа, связанная с Генеральным разведывательным бюро Северной Кореи (RGB), в настоящее время развертывает Linux-вариант своего бэкдора GoBear под названием Gomir, нацеленный на южнокорейские организации.
Table of Contents
Общая информация о Кимсуки и GoBear
Группа Кимсуки имеет опыт нападения на южнокорейские организации с помощью различных вредоносных программ. Бэкдор GoBear, на котором основан Gomir, был впервые задокументирован южнокорейской охранной фирмой S2W в начале февраля 2024 года. В ходе этой кампании было использовано вредоносное ПО под названием Troll Stealer, которое имеет общие характеристики с другими семействами вредоносных программ Kimsuky, такими как AppleSeed и AlphaSeed.
Появление Гомира
По данным команды Symantec Threat Hunter, Gomir практически идентичен GoBear, но код между ними значительно пересекается. Любые функции GoBear, зависящие от операционной системы, были либо опущены, либо реализованы заново в Gomir. Этот бэкдор поддерживает до 17 команд, позволяя его операторам выполнять различные задачи, такие как файловые операции, запуск обратного прокси-сервера, приостановку связи командования и управления (C2), запуск команд оболочки и завершение собственного процесса.
Методы распространения
Аналитический центр безопасности AhnLab (ASEC) обнаружил, что вредоносное ПО распространяется через троянские программы безопасности, загруженные с веб-сайта неустановленной южнокорейской ассоциации строительства. В число этих скомпрометированных программ входят nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport и WIZVERA VeraPort. Примечательно, что WIZVERA VeraPort ранее подвергалась атаке на цепочку поставок программного обеспечения со стороны Lazarus Group в 2020 году.
Symantec также заметила, что Troll Stealer распространялся через мошеннические установщики для Wizvera VeraPort. Однако точный механизм распространения этих установочных пакетов остается неизвестным. Кроме того, вредоносное ПО распространяется через дропперы, маскирующиеся под фальшивые установщики приложений, связанных с корейской транспортной организацией.
Общее происхождение и функциональность
Анализ Symantec показывает, что GoBear и Gomir используют те же имена функций, что и более старый бэкдор Springtail под названием BetaSeed, написанный на C++. Такое сходство предполагает общее происхождение этих угроз. Оба варианта вредоносного ПО поддерживают возможность выполнять команды, полученные с удаленного сервера, что подчеркивает их универсальность и потенциал для масштабной шпионской деятельности.
Выводы и выводы
Эта последняя кампания подчеркивает растущую изощренность северокорейских участников кибершпионажа. Нацеливаясь на установочные пакеты и обновления программного обеспечения, они максимизируют шансы заражения намеченных целей в Южной Корее. Тщательно выбранные цели программного обеспечения указывают на стратегический подход к кибершпионажу, направленный на получение несанкционированного доступа к конфиденциальной информации.
Продолжающаяся эволюция и развертывание бэкдоров, таких как GoBear и Gomir, иллюстрируют постоянную угрозу, исходящую от группы Kimsuky APT. Организации, особенно в Южной Корее, должны сохранять бдительность и усиливать свои меры кибербезопасности для защиты от таких изощренных атак.
