Gomir bakdörrshotet utplacerat av ett avancerat ihållande hot som initierar koreanska cyberattacker
Kimsukys avancerade persistent hot (APT), även känd som Springtail, har lanserat en ny cyberspionagekampanj. Denna grupp, kopplad till Nordkoreas Reconnaissance General Bureau (RGB), distribuerar nu en Linux-variant av sin GoBear-bakdörr, som heter Gomir, riktad mot sydkoreanska organisationer.
Table of Contents
Bakgrund om Kimsuky och GoBear
Kimsuky-gruppen har en historia av att rikta in sig på sydkoreanska enheter med olika skadliga program. GoBear-bakdörren, som Gomir är baserad på, dokumenterades först av det sydkoreanska säkerhetsföretaget S2W i början av februari 2024. Denna kampanj levererade skadlig programvara som heter Troll Stealer, som delar egenskaper med andra Kimsuky-skadliga programfamiljer som AppleSeed och AlphaSeed.
Gomirs uppkomst
Enligt Symantec Threat Hunter Team är Gomir nästan identisk med GoBear, med en betydande överlappning i kod mellan de två. Alla operativsystemberoende funktioner i GoBear har antingen utelämnats eller omimplementerats i Gomir. Denna bakdörr stöder upp till 17 kommandon, vilket gör att dess operatörer kan utföra olika uppgifter som filoperationer, starta en omvänd proxy, pausa kommando-och-kontroll (C2) kommunikation, köra skalkommandon och avsluta sin egen process.
Distributionsmetoder
AhnLab Security Intelligence Center (ASEC) upptäckte att skadlig programvara distribueras via trojaniserade säkerhetsprogram nedladdade från en ospecificerad sydkoreansk konstruktionsrelaterad förenings webbplats. Dessa komprometterade program inkluderar nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport och WIZVERA VeraPort. Noterbart är att WIZVERA VeraPort tidigare utsattes för en attack av mjukvaruförsörjningskedjan av Lazarus Group 2020.
Symantec såg också att Troll Stealer levererades genom oseriösa installatörer för Wizvera VeraPort. Den exakta distributionsmekanismen för dessa installationspaket är dock fortfarande okänd. Dessutom sprids skadlig programvara genom droppare som maskerar sig som falska installatörer för applikationer relaterade till en koreansk transportorganisation.
Gemensamma ursprung och funktionalitet
Symantecs analys indikerar att GoBear och Gomir delar funktionsnamn med en äldre Springtail-bakdörr som heter BetaSeed, skriven i C++. Denna likhet antyder ett gemensamt ursprung för dessa hot. Båda varianterna av skadlig programvara stöder möjligheter att utföra kommandon som tas emot från en fjärrserver, vilket framhäver deras mångsidighet och potential för omfattande spionageaktiviteter.
Konsekvenser och slutsats
Den senaste kampanjen understryker den ökande sofistikeringen hos nordkoreanska cyberspionageaktörer. Genom att rikta in sig på programvaruinstallationspaket och uppdateringar maximerar de chanserna att infektera sina avsedda sydkoreanskt baserade mål. De noggrant utvalda programvarumålen indikerar ett strategiskt förhållningssätt till cyberspionage, som syftar till att få obehörig åtkomst till känslig information.
Den fortsatta utvecklingen och utbyggnaden av bakdörrar som GoBear och Gomir illustrerar det ihållande hot som Kimsuky APT-gruppen utgör. Organisationer, särskilt i Sydkorea, måste förbli vaksamma och förbättra sina cybersäkerhetsåtgärder för att försvara sig mot sådana sofistikerade attacker.
