发起韩国网络攻击的高级持续性威胁部署 Gomir 后门威胁

Kimsuky 高级持续威胁 (APT) 组织（又名 Springtail）发起了一场新的网络间谍活动。该组织与朝鲜侦察总局 (RGB) 有联系，目前正在部署其 GoBear 后门的 Linux 变体 Gomir，目标是韩国组织。

Kimsuky 和 GoBear 的背景

Kimsuky 组织曾利用各种恶意软件针对韩国实体。Gomir 所基于的 GoBear 后门于 2024 年 2 月初首次被韩国安全公司 S2W 记录在案。该活动传播了名为 Troll Stealer 的恶意软件，该恶意软件与其他 Kimsuky 恶意软件家族（如 AppleSeed 和 AlphaSeed）具有相似特征。

戈米尔的出现

据赛门铁克威胁猎人团队称，Gomir 与 GoBear 几乎完全相同，两者的代码有很大的重叠。GoBear 中任何与操作系统相关的功能都被省略或重新实现在 Gomir 中。此后门最多支持 17 条命令，允许其操作员执行各种任务，例如文件操作、启动反向代理、暂停命令和控制 (C2) 通信、运行 shell 命令以及终止其自己的进程。

分发方法

AhnLab 安全情报中心 (ASEC) 发现，该恶意软件正在通过从某韩国建筑相关协会网站下载的木马化安全程序进行传播。这些被感染的程序包括 nProtect Online Security、NX_PRNMAN、TrustPKI、UbiReport 和 WIZVERA VeraPort。值得注意的是，WIZVERA VeraPort 此前曾在 2020 年遭受过 Lazarus Group 的软件供应链攻击。

赛门铁克还发现 Troll Stealer 是通过 Wizvera VeraPort 的恶意安装程序传播的。但是，这些安装包的确切分发机制仍不得而知。此外，该恶意软件还通过伪装成与韩国运输组织相关的应用程序的虚假安装程序的植入程序进行传播。

共同的起源和功能

赛门铁克的分析表明，GoBear 和 Gomir 与较旧的 Springtail 后门 BetaSeed 具有相同的函数名称，后者用 C++ 编写。这种相似性表明这些威胁有共同的起源。这两种恶意软件变体都支持执行从远程服务器收到的命令，这突显了它们的多功能性和进行广泛间谍活动的潜力。

启示与结论

此次最新行动凸显了朝鲜网络间谍行为者日益复杂的技术。通过针对软件安装包和更新，他们最大限度地提高了感染韩国目标的可能性。精心选择的软件目标表明了网络间谍活动的战略方针，旨在未经授权访问敏感信息。

GoBear 和 Gomir 等后门的持续发展和部署表明 Kimsuky APT 组织构成的威胁持续存在。组织（尤其是韩国的组织）必须保持警惕并加强网络安全措施，以防御此类复杂的攻击。