Erkennung der Linux-Hintertür Gomir: Nordkoreanische Kimsuky APT alias Springtail verbreitet neue Malware-Variante, die südkoreanische Organisationen ins Visier nimmt
Inhaltsverzeichnis:
Achtung! Die berüchtigte Cyber-Spionage-Gruppe Kimsuky APT, auch bekannt als Springtail, erweitert ihr offensives Toolkit mit einer neuen Malware-Variante namens Linux.Gomir. Das neuartige Backdoor, das als Linux-Iteration der GoBear-Malwarebetrachtet wird, wird von Gegnern in laufenden Cyberangriffen gegen südkoreanische Organisationen genutzt.
Erkennung des Gomir-Backdoors, bereitgestellt durch Kimsuky APT
Das sich stetig weiterentwickelnde offensive Toolkit des nordkoreanischen Hacker-Kollektivs Kimsuky APT, auch bekannt als Springtail, erfordert höchste Reaktionsfähigkeit von Verteidigern. Der jüngste Angriff unter Nutzung eines Sets legitimer Softwarepakete, missbraucht von Gegnern zur Verbreitung einer Linux-basierten Malware-Iteration, unterstreicht die Notwendigkeit, proaktive Abwehrmaßnahmen zu verstärken. Das SOC Prime Team kuratiert spezielle Sigma-Regeln, um Angriffe von Kimsuky APT zu vereiteln, die das Gomir-Backdoor nutzen, verfügbar über den Erkennungen erkunden -Button unten.
Die Erkennungsalgorithmen sind auf das MITRE ATT&CK®-Framework abgebildet und automatisch konvertierbar zu den führenden SIEM-, EDR- und Data-Lake-Technologien für eine nahtlose, plattformübergreifende Bedrohungserkennung.
Organisationen können sich auch auf den gesamten Erkennungs-Stack verlassen, der die Aktivitäten der Kimsuky APT-Gegenspieler adressiert, indem sie diesem Link folgen , um die Risiken verwandter Cyber-Spionage-Angriffe zu eliminieren und ihre Cybersicherheit zukunftssicher zu machen.
Analyse des Gomir-Backdoors
Die berüchtigte Hackergruppe, die als Kimsuky APT verfolgt und mit dem nordkoreanischen Reconnaissance General Bureau (RGB) in Verbindung gebracht wird, ist seit über zehn Jahren in der Cyber-Bedrohungslandschaft aktiv, mit einem Hauptaugenmerk auf nachrichtendienstlichen Erhebungen. Die Bedrohungsakteure, auch bekannt als Springtail, Emerald Sleet oder THALLIUM, haben sich hauptsächlich auf südkoreanische Organisationen im öffentlichen Sektor konzentriert. Kimsuky hat diverse Angriffsmethoden erkundet, ständig sein Gegenspieler-Toolkit aktualisiert und die TTPs geändert.
In der neuesten Kampagne, die von Symantec-Forschern aufgedeckt wurde, erscheint das neuartige Backdoor (Linux.Gomir) als die Linux-basierte Iteration des Windows-Go-basierten Backdoors namens GoBear. AhnLab Sicherheit Intelligence Center (ASEC) enthüllte weitere Details zum Gomir-Backdoor im Zusammenhang mit seiner Verbreitung über trojanisierte Software-Installationspakete, die von der Website einer südkoreanischen Bauwirtschaftsassoziation heruntergeladen wurden. Die ausgenutzte Software umfasst nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport und WIZVERA VeraPort, wobei letztere 2020 in einem Supply-Chain-Angriff von der Lazarus Group angegriffen wurde.
Gomir und GoBear weisen strukturelle Ähnlichkeiten auf und zeigen eine signifikante Code-Überlappung zwischen den beiden bösartigen Stämmen. GoBear tauchte Anfang Februar 2024 in der Cybersicherheitslandschaft auf, verbunden mit einer Kampagne, die eine neue Golang-basierte Informations-Diebstahl-Malware einsetzt, die als Troll Stealerverfolgt wird. Letztere zeigt signifikante Code-Überlappungen mit früheren Kimsuky-Malware-Familien wie AppleSeed und AlphaSeed. Symantec hat außerdem enthüllt, dass Troll Stealer ebenfalls durch trojanisierte Installationspakete für Wizvera VeraPort verteilt wurde. GoBear weist auch ähnliche Funktionsnamen wie ein älteres Kimsuky-Backdoor namens BetaSeed auf, was darauf hindeutet, dass beide Bedrohungen einen gemeinsamen Ursprung haben.
Wochen nach dem zunächst entdeckten Angriff enthüllten Verteidiger, dass GoBear über einen Dropper verbreitet wurde, der als Installer für eine App getarnt war, die mit einer koreanischen Transportorganisation assoziiert ist. In diesem Fall maskierten die Angreifer den Dropper als Installer mit den Logos der Organisation, anstatt ein echtes Softwarepaket zu bewaffnen.
Die neu entdeckte Linux-basierte Backdoor-Kampagne ermöglicht das Ausführen von bis zu 17 Befehlen, um Aufgaben wie Dateioperationen, Einrichtung eines Reverse Proxy, vorübergehendes Stoppen der C2-Kommunikation, Ausführung von Shell-Befehlen und Beenden des eigenen Prozesses durchzuführen. Gomir prüft seine Befehlszeile nach der Ausführung. Falls sie die Zeichenfolge „install“ als einziges Argument erkennt, versucht es, sich durch die Installation selbst beständig zu machen.
Diese jüngste Kimsuky-Kampagne zeigt die zunehmende Präferenz des Gegners, Software-Installationspakete und Updates als Infektionsvektoren zu nutzen. Variationen dieser Gegenspieler-Taktik umfassen Software-Supply-Chain-Angriffe und trojanisierte sowie gefälschte Software-Installationspakete. Die Auswahl der angezielten Software scheint sorgfältig kuratiert worden zu sein, um die Erfolgschancen von erfolgreichen Einbrüchen in Südkorea zu erhöhen.
Um die Risiken im Zusammenhang mit Gomir-Backdoor-Infektionen zu mindern, empfiehlt Symantec, auf das entsprechende Schutz-Bulletindes Anbieters zu verweisen, welches mögliche Infektionsvektoren und umsetzbare Sicherheitsmaßnahmen darlegt.
Die erhöhte Raffinesse und die gesteigerte Vielfalt an Tools, die von der Kimsuky-Cyber-Spionage-Gruppe eingesetzt werden, treiben die Notwendigkeit für eine proaktive Cyberverteidigung an, um böswillige Absichten erfolgreich zu verhindern. Verlassen Sie sich auf Uncoder AI, das AI-gesteuerte Detection Engineering Suite von SOC Prime, um Ihre Regelkodierung, -validierung und -feinabstimmung zu optimieren, die jagd nach IOCs zu beschleunigen, um schnell nach den neuesten APTs und aufkommenden Bedrohungen jeglicher Art zu suchen, und Ihren Code automatisch in mehreren SIEM-, EDR- und Data-Lake-Sprachen zu übersetzen, während Sie die Produktivität und Leistung Ihres Engineering-Teams steigern.
