Gomir-bagdørstruslen indsat af en avanceret vedvarende trussel, der indleder koreanske cyberangreb
Kimsuky Advanced Persistent Trussel-gruppen (APT), også kendt som Springtail, har lanceret en ny cyberspionagekampagne. Denne gruppe, der er knyttet til Nordkoreas Reconnaissance General Bureau (RGB), implementerer nu en Linux-variant af sin GoBear-bagdør, ved navn Gomir, rettet mod sydkoreanske organisationer.
Table of Contents
Baggrund om Kimsuky og GoBear
Kimsuky-gruppen har en historie med at målrette sydkoreanske enheder med forskellige malware. GoBear-bagdøren, som Gomir er baseret på, blev først dokumenteret af det sydkoreanske sikkerhedsfirma S2W i begyndelsen af februar 2024. Denne kampagne leverede malware kaldet Troll Stealer, som deler karakteristika med andre Kimsuky-malwarefamilier som AppleSeed og AlphaSeed.
Fremkomsten af Gomir
Ifølge Symantec Threat Hunter Team er Gomir næsten identisk med GoBear, med et betydeligt overlap i kode mellem de to. Enhver operativsystemafhængig funktionalitet i GoBear er enten blevet udeladt eller genimplementeret i Gomir. Denne bagdør understøtter op til 17 kommandoer, hvilket gør det muligt for dens operatører at udføre forskellige opgaver såsom filhandlinger, starte en omvendt proxy, sætte kommando-og-kontrol (C2)-kommunikation på pause, køre shell-kommandoer og afslutte sin egen proces.
Distributionsmetoder
AhnLab Security Intelligence Center (ASEC) opdagede, at malwaren distribueres via trojaniserede sikkerhedsprogrammer, der er downloadet fra en uspecificeret sydkoreansk bygge-relateret forenings hjemmeside. Disse kompromitterede programmer inkluderer nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport og WIZVERA VeraPort. Især WIZVERA VeraPort var tidligere udsat for et softwareforsyningskædeangreb af Lazarus Group i 2020.
Symantec observerede også, at Troll Stealer blev leveret gennem useriøse installatører til Wizvera VeraPort. Den nøjagtige distributionsmekanisme for disse installationspakker er dog stadig ukendt. Derudover spredes malwaren gennem droppere, der udgiver sig som falske installatører til applikationer relateret til en koreansk transportorganisation.
Fælles oprindelse og funktionalitet
Symantecs analyse indikerer, at GoBear og Gomir deler funktionsnavne med en ældre Springtail-bagdør kaldet BetaSeed, skrevet i C++. Denne lighed antyder en fælles oprindelse for disse trusler. Begge malware-varianter understøtter muligheder for at udføre kommandoer modtaget fra en ekstern server, hvilket fremhæver deres alsidighed og potentiale for omfattende spionageaktiviteter.
Implikationer og konklusion
Denne seneste kampagne understreger den stigende sofistikering af nordkoreanske cyberspionageaktører. Ved at målrette softwareinstallationspakker og opdateringer maksimerer de chancerne for at inficere deres tilsigtede sydkoreansk-baserede mål. De nøje udvalgte softwaremål indikerer en strategisk tilgang til cyberspionage, der sigter mod at få uautoriseret adgang til følsomme oplysninger.
Den fortsatte udvikling og implementering af bagdøre som GoBear og Gomir illustrerer den vedvarende trussel fra Kimsuky APT-gruppen. Organisationer, især i Sydkorea, skal forblive årvågne og forbedre deres cybersikkerhedsforanstaltninger for at forsvare sig mod sådanne sofistikerede angreb.