Détection du logiciel malveillant Gomir sur Linux : le groupe APT nord-coréen Kimsuky alias Springtail diffuse une nouvelle variante de logiciel malveillant ciblant les organisations sud-coréennes
Table des matières :
Attention ! Le groupe de cyber-espionnage néfaste Kimsuky APT, alias Springtail, enrichit son arsenal offensif avec une nouvelle variante de malware appelée Linux.Gomir. Ce nouveau cheval de Troie, considéré comme une itération Linux du malware GoBear, est exploité par des adversaires dans les cyberattaques en cours contre les organisations sud-coréennes.
Détecter le Backdoor Gomir livré par Kimsuky APT
L’arsenal offensif en évolution continue du collectif de piratage nord-coréen connu sous le nom de Kimsuky APT, alias Springtail, nécessite une ultra-réactivité de la part des défenseurs. La dernière attaque utilisant un ensemble de packages logiciels légitimes et détournés par des adversaires pour diffuser une itération de malware basée sur Linux souligne la nécessité d’augmenter les défenses proactives. L’équipe SOC Prime prépare des règles Sigma dédiées pour contrecarrer les attaques par Kimsuky APT exploitant le backdoor Gomir disponible via le Explorer les Détections bouton ci-dessous.
Les algorithmes de détection sont mappés au cadre MITRE ATT&CK® et automatiquement convertibles pour les technologies SIEM, EDR et Data Lake leaders du secteur pour une détection des menaces inter-plateformes transparente.
Les organisations peuvent également s’appuyer sur l’ensemble des détections abordant l’activité des adversaires Kimsuky APT en suivant ce lien pour éliminer les risques d’attaques cyber-espionnage associées et pérenniser leur posture de cybersécurité.
Analyse du Backdoor Gomir
Le groupe de piratage notoire suivi sous le nom de Kimsuky APT et lié au Bureau général de reconnaissance (RGB) de la Corée du Nord est actif dans le paysage des menaces cybernétiques depuis plus de dix ans, avec un accent majeur sur les opérations de collecte de renseignement. Les acteurs menaçants, également connus sous le nom de Springtail, Emerald Sleet ou THALLIUM, ont principalement ciblé les entités du secteur public sud-coréen. Kimsuky a exploré diverses méthodes d’attaque, mettant fréquemment à jour son arsenal d’adversaires et modifiant ses TTPs.
Lors de la dernière campagne dévoilée par des chercheurs de Symantec, le nouveau cheval de Troie (Linux.Gomir) semble être l’itération basée sur Linux du cheval de Troie Windows basé sur Go, appelé GoBear. Centre de renseignement en sécurité AhnLab (ASEC) a révélé d’autres détails sur le backdoor Gomir en relation avec sa livraison via des packages d’installation de logiciels contaminés téléchargés depuis le site Web d’une association sud-coréenne liée à la construction. Les logiciels exploités incluent nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport et WIZVERA VeraPort, ce dernier ayant été ciblé dans une attaque en chaîne d’approvisionnement par le Lazarus Group en 2020.
Gomir et GoBear présentent des similitudes structurelles, affichant un chevauchement de code significatif entre les deux souches malveillantes. GoBear a émergé dans l’arène des menaces cybernétiques début février 2024, lié à une campagne utilisant un nouveau malware basé sur Golang connu sous le nom de Troll Stealer. Ce dernier montre un chevauchement de code significatif avec les anciennes familles de logiciels malveillants de Kimsuky comme AppleSeed et AlphaSeed. Notamment, Symantec a également révélé que Troll Stealer était également distribué via des packages d’installation contaminés pour Wizvera VeraPort. GoBear présente également des noms de fonctions similaires à un ancien backdoor Kimsuky appelé BetaSeed, supposant que les deux menaces partagent une origine commune.
Quelques semaines après l’attaque initialement découverte, les défenseurs ont révélé que GoBear était distribué via un dropper déguisé en installateur pour une application associée à une organisation de transport coréenne. Dans ce cas, les attaquants ont déguisé le dropper en installateur affichant les logos de l’organisation au lieu d’arme un package logiciel authentique.
La nouvelle campagne de backdoor basée sur Linux découverte permet d’exécuter jusqu’à 17 commandes pour effectuer des tâches telles que les opérations de fichiers, l’initiation d’un proxy inverse, l’arrêt temporaire des communications C2, l’exécution de commandes shell et la terminaison de son propre processus. Gomir vérifie sa ligne de commande après exécution. Dès qu’il détecte la chaîne « install » comme son seul argument, il tente d’établir une persistance en s’installant lui-même.
Cette campagne récente de Kimsuky montre la préférence croissante des adversaires pour l’utilisation de packages d’installation de logiciels et de mises à jour comme vecteurs d’infection. Les variations de cette tactique des adversaires incluent des attaques sur la chaîne d’approvisionnement des logiciels et des packages d’installation de logiciels contaminés et frauduleux. La sélection des logiciels ciblés semble avoir été soigneusement organisée pour augmenter les chances d’intrusions réussies ciblant la Corée du Sud.
Pour atténuer les risques liés aux infections par le backdoor Gomir, Symantec recommande de se référer au Bulletin de protectiondu fournisseur correspondant, qui détaille les vecteurs d’infection potentiels et les mesures de protection de sécurité possibles.
La sophistication accrue et la variété accrue des outils appliqués par le groupe de cyber-espionnage Kimsuky alimentent le besoin d’une défense cybernétique proactive pour anticiper avec succès les intentions malveillantes. Comptez sur Uncoder AI, la suite d’ingénierie de détection alimentée par l’intelligence artificielle de SOC Prime, pour rationaliser votre codage de règles, validation et ajustement fin, accélérer la chasse basée sur les IOC pour rechercher rapidement les dernières APT et menaces émergentes de toute envergure, et traduire automatiquement votre code dans plusieurs langues SIEM, EDR et Data Lake tout en augmentant la productivité et la performance de votre équipe d’ingénierie.
