Kuzey Kore’nin Genel Keşif Bürosuna (RGB) bağlı olan Kimsuky (diğer adıyla Springtail) gelişmiş kalıcı tehdit (APT) grubunun, Güney Koreli kuruluşları hedef alan bir kampanyanın parçası olarak GoBear arka kapısının Linux versiyonunu dağıttığı gözlemlendi.
Kod adı verilen arka kapı GomirBroadcom’un bir parçası olan Symantec Tehdit Avcısı Ekibi yeni bir raporda, “yapısal olarak GoBear ile neredeyse aynı olduğunu ve kötü amaçlı yazılım çeşitleri arasında kapsamlı kod paylaşımına sahip olduğunu” söyledi. “GoBear’ın işletim sistemine bağlı tüm işlevleri ya eksiktir ya da Gomir’de yeniden uygulanmıştır.”
GoBear, ilk olarak Güney Koreli güvenlik firması S2W tarafından Şubat 2024’ün başlarında, AppleSeed ve AlphaSeed gibi bilinen Kimsuky kötü amaçlı yazılım aileleriyle örtüşen Troll Stealer (diğer adıyla TrollAgent) adlı kötü amaçlı yazılım dağıtan bir kampanyayla bağlantılı olarak belgelendi.
AhnLab Güvenlik İstihbarat Merkezi (ASEC) tarafından yapılan daha sonraki bir analiz, kötü amaçlı yazılımın, Güney Koreli inşaatla ilgili bir birliğin web sitesinden indirilen truva atı haline getirilmiş güvenlik programları aracılığıyla dağıtıldığını ortaya çıkardı.
Buna nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport ve WIZVERA VeraPort dahildir; bunlardan sonuncusu daha önce 2020’de Lazarus Grubu tarafından bir yazılım tedarik zinciri saldırısına maruz kalmıştı.
Symantec, Troll Stealer kötü amaçlı yazılımının Wizvera VeraPort için hileli yükleyiciler aracılığıyla dağıtıldığını da gözlemlediğini, ancak kurulum paketlerinin teslim edildiği tam dağıtım mekanizmasının şu anda bilinmediğini söyledi.
Şirket, “GoBear ayrıca, C++ ile yazılmış, BetaSeed olarak bilinen eski bir Springtail arka kapısına benzer işlev adları içeriyor; bu da her iki tehdidin de ortak bir kökene sahip olduğunu gösteriyor” dedi.
Uzak bir sunucudan alınan komutları yürütme yeteneklerini destekleyen kötü amaçlı yazılımın, Koreli bir ulaşım organizasyonuna yönelik bir uygulamanın sahte yükleyicisi gibi davranan damlalıklar yoluyla da yayıldığı söyleniyor.
Linux’taki muadili Gomir, 17’ye kadar komutu destekleyerek operatörlerinin dosya işlemlerini gerçekleştirmesine, ters proxy başlatmasına, belirli bir süre boyunca komut ve kontrol (C2) iletişimlerini duraklatmasına, kabuk komutlarını çalıştırmasına ve kendi iletişimini sonlandırmasına olanak tanır. işlem.
Symantec, “Bu son Springtail kampanyası, yazılım yükleme paketlerinin ve güncellemelerinin artık Kuzey Koreli casusluk aktörleri için en çok tercih edilen enfeksiyon vektörleri arasında olduğuna dair daha fazla kanıt sağlıyor” dedi.
“Hedeflenen yazılım, amaçlanan Güney Kore merkezli hedeflere bulaşma şansını en üst düzeye çıkarmak için dikkatlice seçilmiş gibi görünüyor.”