O grupo de ameaças persistentes avançadas (APT) Kimsuky (também conhecido como Springtail), ligado ao Bureau Geral de Reconhecimento (RGB) da Coreia do Norte, foi observado implantando uma versão do Linux de seu backdoor GoBear como parte de uma campanha direcionada a organizações sul-coreanas.
O backdoor, codinome Gomir, é “estruturalmente quase idêntico ao GoBear, com amplo compartilhamento de código entre as variantes de malware”, afirmou a equipe de caçadores de ameaças Symantec, parte da Broadcom, em um novo relatório. “Qualquer funcionalidade do GoBear que dependa do sistema operacional está faltando ou foi reimplantada no Gomir.”
O GoBear foi documentado pela primeira vez pela empresa sul-coreana de segurança S2W no início de fevereiro de 2024 em conexão com uma campanha que entregou um malware chamado Troll Stealer (também conhecido como TrollAgent), que se sobrepõe a famílias conhecidas de malwares da Kimsuky, como AppleSeed e AlphaSeed.
Uma análise subsequente do Centro de Inteligência de Segurança AhnLab (ASEC) revelou que o malware é distribuído por meio de programas de segurança troianizados baixados de um site de uma associação sul-coreana relacionada à construção não especificada.
Isso inclui nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort, sendo este último anteriormente alvo de um ataque de cadeia de suprimentos de software pelo Lazarus Group em 2020.
A Symantec afirmou que também observou o malware Troll Stealer sendo distribuído por instaladores falsos para o Wizvera VeraPort, embora o mecanismo exato de distribuição que os pacotes de instalação usam ainda seja desconhecido.
“O GoBear também contém nomes de funções semelhantes a um backdoor mais antigo da Springtail conhecido como BetaSeed, que foi escrito em C ++, sugerindo que ambas as ameaças têm uma origem comum”, observou a empresa.
O malware, que suporta capacidades para executar comandos recebidos de um servidor remoto, também é dito ser propagado por droppers que se disfarçam de um instalador falso para um aplicativo de uma organização de transporte sul-coreana.
Sua contraparte no Linux, Gomir, suporta até 17 comandos, permitindo que seus operadores realizem operações de arquivo, iniciem um proxy reverso, pausam as comunicações de comando e controle (C2) por uma duração de tempo especificada, executem comandos de shell e terminem seu próprio processo.
“Esta última campanha da Springtail fornece mais evidências de que pacotes de instalação de software e atualizações estão entre os vetores de infecção mais favorecidos por atores de espionagem norte-coreanos”, disse a Symantec.
“O software visado parece ter sido cuidadosamente escolhido para maximizar as chances de infectar os alvos sul-coreanos pretendidos.”