O grupo de ameaças persistentes avançadas (APT) Kimsuky (também conhecido como Springtail), ligado ao Bureau Geral de Reconhecimento da Coreia do Norte (RGB), foi observado implantando uma versão do backdoor GoBear para Linux como parte de uma campanha visando organizações sul-coreanas.
O backdoor, codinome Gomir, é “estruturalmente quase idêntico ao GoBear, com um extenso compartilhamento de código entre as variantes de malware”, afirmou a equipe Symantec Threat Hunter, parte da Broadcom, em um novo relatório. “Qualquer funcionalidade do GoBear que seja dependente do sistema operacional está ausente ou refeito em Gomir”.
O GoBear foi documentado pela primeira vez pela empresa de segurança sul-coreana S2W no início de fevereiro de 2024, em conexão com uma campanha que entregava um malware chamado Troll Stealer (também conhecido como TrollAgent), que se sobrepõe a famílias de malware conhecidas do Kimsuky como AppleSeed e AlphaSeed.
Uma análise subsequente do Centro de Inteligência em Segurança AhnLab (ASEC) revelou que o malware é distribuído por meio de programas de segurança trojanizados baixados de um site de uma associação sul-coreana relacionada à construção não especificada.
Isso inclui o nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort, sendo este último anteriormente alvo de um ataque de cadeia de suprimentos de software pelo grupo Lazarus em 2020.
A Symantec também observou que o malware Troll Stealer é distribuído por meio de instaladores falsos para o Wizvera VeraPort, embora o mecanismo exato de distribuição dos pacotes de instalação ainda seja desconhecido.
“O GoBear também contém nomes de funções semelhantes a um backdoor mais antigo do Springtail conhecido como BetaSeed, escrito em C++, sugerindo que ambas as ameaças têm uma origem comum,” observou a empresa.
O malware, que suporta capacidades para executar comandos recebidos de um servidor remoto, também é propagado através de droppers que se mascaram como um instalador falso para um aplicativo de uma organização de transporte coreana.
A versão para Linux, Gomir, suporta até 17 comandos, permitindo que seus operadores realizem operações de arquivo, iniciem um proxy reverso, suspendam comunicações de comando e controle (C2) por um determinado período de tempo, executem comandos shell e terminem seu próprio processo.
“Esta última campanha da Springtail fornece mais evidências de que pacotes de instalação de software e atualizações estão entre os vetores de infecção mais favorecidos pelos atores de espionagem da Coreia do Norte,” afirmou a Symantec.
“O software visado parece ter sido cuidadosamente escolhido para maximizar as chances de infectar seus alvos sul-coreanos pretendidos”.
