Detección del Backdoor Gomir en Linux: APT Kimsuky de Corea del Norte, también conocido como Springtail, Disemina Nueva Variante de Malware Dirigida a Organizaciones Surcoreanas
Tabla de contenidos:
¡Atención! El nefasto grupo de ciberespionaje Kimsuky APT, también conocido como Springtail, enriquece su arsenal ofensivo con una nueva variante de malware denominada Linux.Gomir. El nuevo backdoor, que se considera una iteración de Linux del malware GoBear, es utilizado por los adversarios en los ataques cibernéticos continuos contra organizaciones de Corea del Sur.
Detectar el Backdoor Gomir entregado por Kimsuky APT
El arsenal ofensivo en permanente evolución del colectivo de hackers norcoreano conocido como Kimsuky APT, también llamado Springtail, requiere una ultra-respuesta de los defensores. El último ataque aprovechando un conjunto de paquetes de software legÃtimos y explotados por los adversarios para propagar malware basado en Linux resalta la necesidad de aumentar las defensas proactivas. El equipo de SOC Prime cura reglas Sigma dedicadas para frustrar ataques por Kimsuky APT utilizando el backdoor Gomir disponible a través del Explorar Detecciones botón a continuación.
Los algoritmos de detección están mapeados al marco MITRE ATT&CK® y son automáticamente convertibles a tecnologÃas lÃderes de la industria como SIEM, EDR, y Data Lake para una detección de amenazas sin problemas entre plataformas.
Las organizaciones también pueden confiar en todo el conjunto de detección que aborda la actividad del adversario Kimsuky APT siguiendo este enlace para eliminar los riesgos de ataques de ciberespionaje relacionados y preparar su postura de ciberseguridad para el futuro.
Análisis del Backdoor Gomir
El notorio grupo de hackers seguido como Kimsuky APT y vinculado a la Oficina General de Reconocimiento de Corea del Norte (RGB) ha estado activo en el panorama de amenazas cibernéticas durante más de diez años, centrándose principalmente en operaciones de recopilación de inteligencia. Los actores de amenazas, también conocidos como Springtail, Emerald Sleet o THALLIUM, han estado apuntando principalmente a entidades del sector público surcoreano. Kimsuky ha explorado diversos métodos de ataque, actualizando frecuentemente su arsenal de adversarios y cambiando sus TTPs.
En la última campaña descubierta por los investigadores de Symantec, el nuevo backdoor (Linux.Gomir) parece ser la iteración basada en Linux del backdoor basado en Go de Windows denominado GoBear. Centro de inteligencia de SEguridad AhnLab (ASEC) reveló más detalles sobre el backdoor Gomir relacionados con su entrega a través de paquetes de instalación de software troyanizados descargados del sitio web de una asociación surcoreana relacionada con la construcción. El software explotado incluye nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport y WIZVERA VeraPort, siendo este último objetivo de un ataque a la cadena de suministro por parte del Grupo Lazarus en 2020.
Gomir y GoBear comparten similitudes estructurales, mostrando una superposición significativa de código entre las dos cepas maliciosas. GoBear emergió en la arena de las amenazas cibernéticas a principios de febrero de 2024, vinculado a una campaña que empleaba un nuevo malware de robo de información basado en Golang seguido como Troll Stealer. Este último muestra una superposición significativa de código con las familias de malware Kimsuky anteriores como AppleSeed y AlphaSeed. Notablemente, Symantec también reveló que Troll Stealer fue distribuido de manera similar a través de paquetes de instalación troyanizados para Wizvera VeraPort. GoBear también presenta nombres de función similares a un backdoor Kimsuky más antiguo denominado BetaSeed, suponiendo que ambas amenazas comparten un origen común.
Semanas después del ataque descubierto inicialmente, los defensores revelaron que GoBear fue distribuido a través de un dropper disfrazado como un instalador para una aplicación asociada con una organización de transporte coreana. En este caso, los atacantes disfrazaron el dropper como un instalador que presentaba los logotipos de la organización en lugar de armar un paquete de software genuino.
La campaña de backdoors basada en Linux recién descubierta permite ejecutar hasta 17 comandos para realizar tareas como operaciones de archivos, iniciar un proxy inverso, detener temporalmente las comunicaciones C2, ejecutar comandos shell y terminar su propio proceso. Gomir revisa su lÃnea de comandos después de la ejecución. Proporcionado que detecta la cadena «install» como su único argumento, intenta establecer persistencia instalándose a sà mismo.
Esta reciente campaña de Kimsuky muestra la creciente preferencia del adversario por el uso de paquetes de instalación de software y actualizaciones como vectores de infección. Las variaciones de esta táctica adversaria incluyen ataques a la cadena de suministro de software y paquetes de instalación de software troyanizados y fraudulentos. La selección de software objetivo parece haber sido cuidadosamente seleccionada para aumentar las posibilidades de intrusiones exitosas dirigidas a Corea del Sur.
Para mitigar los riesgos relacionados con las infecciones del backdoor Gomir, Symantec recomienda referirse al BoletÃn de Proteccióndel proveedor correspondiente, que detalla posibles vectores de infección y medidas de protección de seguridad factibles.
La mayor sofisticación y variedad de herramientas aplicadas por el grupo de ciberespionaje Kimsuky alimentan la necesidad de una defensa cibernética proactiva para predecir con éxito las intenciones maliciosas. ConfÃe en Uncoder AI, el suite de IngenierÃa de Detección potenciado por IA de SOC Prime, para agilizar la codificación de sus reglas, validación y ajuste, acelerar la caza basada en IOC para buscar rápidamente las últimas APTs y amenazas emergentes de cualquier escala, y traducir automáticamente su código a través de múltiples lenguajes de SIEM, EDR y Data Lake, mientras aumenta la productividad y rendimiento de su equipo de ingenierÃa.
