Kimsuky APT triển khai Linux Backdoor Gomir trong các cuộc tấn công mạng

 

 Nhóm Kimsuky (hay còn gọi là Springtail) Advanced Persistent Threat (APT), có liên quan đến Tổng cục Trinh sát Triều Tiên (RGB), đã được quan sát thấy triển khai một phiên bản Linux của cửa hậu GoBear như một phần của chiến dịch nhắm vào các tổ chức Hàn Quốc.

Backdoor, có tên mã là Gomir, "có cấu trúc gần giống với GoBear, với việc chia sẻ mã rộng rãi giữa các biến thể phần mềm độc hại", Symantec Threat Hunter Team, một phần của Broadcom, cho biết trong một báo cáo mới. "Bất kỳ chức năng nào từ GoBear phụ thuộc vào hệ điều hành đều bị thiếu hoặc được triển khai lại trong Gomir."

GoBear lần đầu tiên được công ty bảo mật S2W của Hàn Quốc ghi nhận vào đầu tháng 2/2024 liên quan đến một chiến dịch phát tán phần mềm độc hại có tên Troll Stealer (hay còn gọi là TrollAgent), trùng lặp với các họ phần mềm độc hại Kimsuky đã biết như AppleSeed và AlphaSeed.

Một phân tích tiếp theo của Trung tâm Tình báo An ninh AhnLab (ASEC) tiết lộ rằng phần mềm độc hại được phân phối thông qua các chương trình bảo mật trojan được tải xuống từ trang web của một hiệp hội liên quan đến xây dựng không xác định của Hàn Quốc.

Điều này bao gồm nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport và WIZVERA VeraPort, công ty cuối cùng trước đây đã bị Tập đoàn Lazarus tấn công chuỗi cung ứng phần mềm vào năm 2020.

Symantec cho biết họ cũng quan sát thấy phần mềm độc hại Troll Stealer được phân phối thông qua các trình cài đặt giả mạo cho Wizvera VeraPort, mặc dù cơ chế phân phối chính xác mà các gói cài đặt được phân phối hiện vẫn chưa được biết.

"GoBear cũng chứa các tên chức năng tương tự như một backdoor Springtail cũ hơn được gọi là BetaSeed, được viết bằng C ++, cho thấy cả hai mối đe dọa đều có nguồn gốc chung", công ty lưu ý.

Phần mềm độc hại, hỗ trợ khả năng thực hiện các lệnh nhận được từ một máy chủ từ xa, cũng được cho là được lan truyền thông qua các trình nhỏ giọt giả mạo như một trình cài đặt giả mạo cho một ứng dụng cho một tổ chức vận tải Hàn Quốc.

Đối tác Linux của nó, Gomir, hỗ trợ tới 17 lệnh, cho phép các nhà khai thác của nó thực hiện các hoạt động tệp, bắt đầu proxy ngược, tạm dừng giao tiếp lệnh và kiểm soát (C2) trong một khoảng thời gian xác định, chạy lệnh shell và chấm dứt quy trình của chính nó.

"Chiến dịch Springtail mới nhất này cung cấp thêm bằng chứng cho thấy các gói cài đặt và cập nhật phần mềm hiện là một trong những vectơ lây nhiễm được ưa chuộng nhất cho các tác nhân gián điệp Triều Tiên", Symantec nói.

"Phần mềm bị nhắm mục tiêu dường như đã được lựa chọn cẩn thận để tối đa hóa cơ hội lây nhiễm các mục tiêu dự định có trụ sở tại Hàn Quốc".

Mới hơn Cũ hơn