O grupo de ameaça persistente avançada (APT) Kimsuky (também conhecido como Springtail), vinculado ao Reconnaissance General Bureau (RGB) da Coreia do Norte, foi observado implantando uma versão Linux do seu backdoor GoBear como parte de uma campanha direcionada a organizações sul-coreanas.
O backdoor, codinome Gomir, é “estruturalmente quase idêntico ao GoBear, com extenso compartilhamento de código entre as variantes de malware”, afirmou a Equipe de Caçadores de Ameaças da Symantec, parte da Broadcom, em um novo relatório. “Qualquer funcionalidade do GoBear que é dependente do sistema operacional está ausente ou reimplementada no Gomir.”
O GoBear foi primeiramente documentado pela empresa sul-coreana de segurança S2W no início de fevereiro de 2024 em conexão com uma campanha que entregou um malware chamado Troll Stealer (também conhecido como TrollAgent), que se sobrepõe a famílias conhecidas de malware da Kimsuky, como AppleSeed e AlphaSeed.
Uma análise subsequente do Centro de Inteligência de Segurança da AhnLab (ASEC) revelou que o malware é distribuído por meio de programas de segurança troianizados baixados de um site não especificado de uma associação sul-coreana relacionada à construção.
Isso inclui nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort, sendo que este último foi alvo de um ataque de cadeia de suprimentos de software pelo Grupo Lazarus em 2020.
A Symantec também observou que o malware Troll Stealer é distribuído por instaladores falsos para o Wizvera VeraPort, embora o mecanismo exato de distribuição pelos pacotes de instalação seja desconhecido no momento.
“O GoBear também contém nomes de funções semelhantes a um backdoor mais antigo da Springtail conhecido como BetaSeed, que foi escrito em C++, sugerindo que ambas ameaças têm uma origem comum”, observou a empresa.
O malware, que suporta capacidades para executar comandos recebidos de um servidor remoto, também é dito ser propagado por meio de instaladores falsos de um aplicativo para uma organização de transporte sul-coreana.
Seu equivalente para Linux, Gomir, suporta até 17 comandos, permitindo que seus operadores realizem operações de arquivo, iniciem um proxy reverso, interrompam comunicações de comando e controle (C2) por um período de tempo especificado, executem comandos de shell e terminem seu próprio processo.
“Esta última campanha da Springtail fornece mais evidências de que pacotes de instalação de software e atualizações estão entre os vetores de infecção mais favoritos para atores de espionagem norte-coreanos”, disse a Symantec.
“O software alvo parece ter sido cuidadosamente escolhido para maximizar as chances de infectar seus alvos sul-coreanos pretendidos.”
