Grupa Kimsuky (aka Springtail) za napredne persistentne prijetnje (APT), koja je povezana sa Sjevernokorejskim Generalnim biroom za izviđanje (RGB), primijećena je kako postavlja Linux verziju svog GoBear backdoor-a kao dio kampanje usmjerene na južnokorejske organizacije.
Backdoor, kodnog imena Gomir , “strukturno je gotovo identičan GoBear-u, sa opsežnim dijeljenjem koda između varijanti zlonamjernog softvera”, navodi Symantec Threat Hunter Team, dio Broadcoma, u novom izvještaju. “Svaka funkcionalnost GoBeara koja zavisi od operativnog sistema ili nedostaje ili je ponovo implementirana u Gomiru.”
GoBear je prvi put dokumentovala južnokorejska sigurnosna firma S2W početkom februara 2024. u vezi s kampanjom koja je isporučila zlonamjerni softver pod nazivom Troll Stealer (aka TrollAgent), koji se preklapa s poznatim Kimsuky porodicama zlonamjernog softvera kao što su AppleSeed i AlphaSeed.
Naknadna analiza koju je izvršio AhnLab Security Intelligence Center (ASEC) otkrila je da se zlonamjerni softver distribuira putem trojaniziranih sigurnosnih programa preuzetih s web stranice nespecificiranog južnokorejskog udruženja za građevinarstvo.
Ovo uključuje nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport i WIZVERA VeraPort, od kojih je posljednji prethodno bio podvrgnut napadu na lanac nabavke softvera od strane Lazarus grupe 2020. godine.
Symantec je rekao da je takođe primetio da se malver Troll Stealer isporučuje preko lažnih instalatera za Wizvera VeraPort, iako je tačan mehanizam distribucije putem kojeg se instalacioni paketi isporučuju trenutno nepoznat.
“GoBear takođe sadrži imena funkcija slična starijem Springtail backdoor-u poznatom kao BetaSeed, koji je napisan na C++-u, što sugeriše da obe prijetnje imaju zajedničko porijeklo”, istakla je kompanija.
Zlonamjerni softver, koji podržava mogućnosti za izvršavanje naredbi primljenih sa udaljenog servera, takođe se navodi da se širi putem droppera koji se maskiraju kao lažni instalater za aplikaciju za korejsku transportnu organizaciju.
Njegov Linux counterpart , Gomir, podržava čak 17 naredbi, omogućavajući svojim operaterima da izvode operacije s datotekama, pokreću obrnuti proxy, pauziraju komunikaciju naredbe i kontrole (C2) na određeno vremensko trajanje, pokreću naredbe ljuske i prekidaju vlastiti proces.
“Ova najnovija Springtail kampanja nudi dodatne dokaze da su softverski instalacijski paketi i ažuriranja sada među najomiljenijim vektorima infekcije za hakere špijunaže u Sjevernoj Koreji”, rekao je Symantec.
“Izgleda da je ciljani softver pažljivo odabran kako bi se maskimalno smjanjili šanse da zarazi svoje odabrane mete sa sjedištem u Južnoj Koreji.”
Izvor:The Hacker New