由發動韓國網路攻擊的進階持續性威脅部署的 Gomir 後門威脅

Kimsuky 進階持續性威脅 (APT) 組織（也稱為 Springtail）發起了一項新的網路間諜活動。該組織與北韓偵察總局 (RGB) 有聯繫，目前正在部署其 GoBear 後門的 Linux 變體，名為 Gomir，目標是韓國組織。

Kimsuky 和 GoBear 的背景

Kimsuky 組織有利用各種惡意軟體針對韓國實體的歷史。 Gomir 所基於的 GoBear 後門於 2024 年 2 月首次由韓國安全公司 S2W 記錄。

戈米爾的出現

據賽門鐵克威脅獵人團隊稱，Gomir 與 GoBear 幾乎相同，兩者之間的代碼有明顯重疊。 GoBear 中任何依賴作業系統的功能在 Gomir 中要麼被省略，要麼被重新實作。該後門最多支援 17 個命令，允許其操作者執行各種任務，例如檔案操作、啟動反向代理、暫停命令和控制 (C2) 通訊、運行 shell 命令以及終止自己的進程。

分配方式

AhnLab 安全情報中心 (ASEC) 發現，該惡意軟體是透過從未指定的韓國建築相關協會網站下載的木馬安全程序進行傳播的。這些受損程式包括 nProtect Online Security、NX_PRNMAN、TrustPKI、UbiReport 和 WIZVERA VeraPort。值得注意的是，WIZVERA VeraPort 先前曾在 2020 年遭受 Lazarus 集團的軟體供應鏈攻擊。

賽門鐵克也發現 Troll Stealer 是透過 Wizvera VeraPort 的惡意安裝程式傳播的。然而，這些安裝包的確切分發機制仍然未知。此外，該惡意軟體也透過偽裝成與韓國交通組織相關的應用程式的虛假安裝程式的植入程式進行傳播。

共同起源和功能

賽門鐵克的分析表明，GoBear 和 Gomir 與較舊的 Springtail 後門（稱為 BetaSeed）共享函數名稱，該後門是用 C++ 編寫的。這種相似性顯示這些威脅有一個共同的根源。這兩種惡意軟體變體都支援執行從遠端伺服器接收的命令的功能，突顯了它們的多功能性和廣泛間諜活動的潛力。

影響和結論

這項最新活動凸顯了北韓網路間諜活動的日益複雜。透過針對軟體安裝套件和更新，他們最大限度地提高了感染韓國目標的機會。精心挑選的軟體目標表明了一種網路間諜活動的戰略方法，旨在未經授權存取敏感資訊。

GoBear 和 Gomir 等後門的持續演進和部署說明了 Kimsuky APT 組織所構成的持續威脅。各組織，尤其是韓國的組織，必須保持警覺並加強網路安全措施，以防禦此類複雜的攻擊。