Você está visualizando atualmente Kimsuky APT Implementando Backdoor Linux Gomir em Ataques Cibernéticos Sul-Coreanos

Kimsuky APT Implementando Backdoor Linux Gomir em Ataques Cibernéticos Sul-Coreanos

O grupo de ameaças persistentes avançadas (APT) Kimsuky (também conhecido como Springtail), que está ligado à Agência Geral de Reconhecimento da Coreia do Norte (RGB), foi observado implantando uma versão Linux de seu backdoor GoBear como parte de uma campanha de direcionamento às organizações sul-coreanas.

O backdoor, codinome Gomir, é “estruturalmente quase idêntico ao GoBear, com amplo compartilhamento de código entre as variantes de malware”, afirmou a Equipe de Caçadores de Ameaças da Symantec, parte da Broadcom, em um novo relatório. “Qualquer funcionalidade operacional do GoBear que dependa do sistema operacional está ausente ou foi reimplementada no Gomir.”

O GoBear foi primeiramente documentado pela empresa sul-coreana de segurança S2W no início de fevereiro de 2024 em conexão com uma campanha que entregava um malware chamado Troll Stealer (também conhecido como TrollAgent), que se sobrepõe às famílias conhecidas de malwares do Kimsuky, como AppleSeed e AlphaSeed.

Uma análise subsequente do Centro de Inteligência de Segurança da AhnLab (ASEC) revelou que o malware é distribuído por meio de programas de segurança trojanizados baixados de um site não especificado de uma associação sul-coreana relacionada à construção.

Isso inclui o nProtect Online Security, o NX_PRNMAN, o TrustPKI, o UbiReport e o WIZVERA VeraPort, sendo que este último foi anteriormente alvo de um ataque de cadeia de suprimentos de software pelo Grupo Lazarus em 2020.

A Symantec afirmou que também observou o malware Troll Stealer sendo entregue por instaladores falsos para o Wizvera VeraPort, embora o mecanismo exato de distribuição pelos pacotes de instalação seja atualmente desconhecido.

“O GoBear também contém nomes de funções semelhantes a um backdoor mais antigo do Springtail conhecido como BetaSeed, que foi escrito em C++, sugerindo que ambas as ameaças têm uma origem comum”, observou a empresa.

O malware, que suporta capacidades para executar comandos recebidos de um servidor remoto, também é dito ser propagado através de droppers que se disfarçam como um falso instalador de um aplicativo para uma organização de transporte coreana.

Seu equivalente Linux, Gomir, suporta até 17 comandos, permitindo que seus operadores realizem operações de arquivo, iniciem um proxy reverso, pause as comunicações de comando e controle (C2) por um período de tempo específico, executem comandos de shell e terminem seu próprio processo.

“Esta última campanha Springtail fornece mais evidências de que os pacotes de instalação de software e atualizações estão entre os vetores de infecção mais preferidos para os atores de espionagem da Coreia do Norte”, disse a Symantec.

“O software visado parece ter sido cuidadosamente escolhido para maximizar as chances de infectar seus alvos sul-coreanos pretendidos.”