O grupo de ameaças persistentes avançadas (APT) Kimsuky (também conhecido como Springtail), que está ligado ao Reconnaissance Common Bureau (RGB) da Coreia do Norte, foi observado implantando uma versão Linux de seu backdoor GoBear como parte de uma campanha visando organizações sul-coreanas.
A porta dos fundos, codinome Gomir, é “estruturalmente quase idêntico ao GoBear, com amplo compartilhamento de código entre variantes de malware”, disse a equipe Symantec Menace Hunter, parte da Broadcom, em um novo relatório. “Qualquer funcionalidade do GoBear que dependa do sistema operacional está faltando ou foi reimplementada no Gomir.”
GoBear foi documentado pela primeira vez pela empresa de segurança sul-coreana S2W no início de fevereiro de 2024 em conexão com uma campanha que distribuiu malware chamado Troll Stealer (também conhecido como TrollAgent), que se sobrepõe a famílias de malware Kimsuky conhecidas, como AppleSeed e AlphaSeed.
Uma análise subsequente do AhnLab Safety Intelligence Middle (ASEC) revelou que o malware é distribuído através de programas de segurança trojanizados baixados de um website não especificado de uma associação sul-coreana relacionada à construção.
Isso inclui nProtect On-line Safety, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort, o último dos quais foi anteriormente submetido a um ataque à cadeia de suprimentos de software program pelo Grupo Lazarus em 2020.
A Symantec disse que também observou o malware Troll Stealer sendo entregue por meio de instaladores não autorizados do Wizvera VeraPort, embora o mecanismo exato de distribuição pelo qual os pacotes de instalação são entregues seja atualmente desconhecido.
“GoBear também contém nomes de funções semelhantes a um backdoor Springtail mais antigo conhecido como BetaSeed, que foi escrito em C++, sugerindo que ambas as ameaças têm uma origem comum”, observou a empresa.
O malware, que oferece suporte à capacidade de executar comandos recebidos de um servidor remoto, também é propagado por meio de droppers que se disfarçam como um instalador falso de um aplicativo de uma organização de transporte coreana.
Sua contraparte Linux, Gomir, suporta até 17 comandos, permitindo que seus operadores executem operações de arquivo, iniciem um proxy reverso, pausem comunicações de comando e controle (C2) por um período de tempo especificado, executem comandos shell e encerre suas próprias comunicações. processo.
“Esta última campanha do Springtail fornece mais evidências de que os pacotes de instalação de software program e atualizações estão agora entre os vetores de infecção mais favorecidos pelos agentes de espionagem norte-coreanos”, disse a Symantec.
“O software program visado parece ter sido cuidadosamente escolhido para maximizar as possibilities de infectar os alvos pretendidos baseados na Coreia do Sul.”
