Rilevamento Backdoor Linux Gomir: Il Kimsuky APT Nordcoreano noto come Springtail Diffonde Nuova Variante di Malware che Prende di Mira le Organizzazioni Sudcoreane
Indice:
Attenzione! Il nefasto gruppo di cyber-spionaggio Kimsuky APT, alias Springtail, arricchisce il suo toolkit offensivo con una nuova variante di malware chiamata Linux.Gomir. Il nuovo backdoor, considerato un’iterazione Linux del malware GoBear, è sfruttato dagli avversari negli attacchi informatici in corso contro le organizzazioni sudcoreane.
Rilevare il Backdoor Gomir distribuito da Kimsuky APT
Il toolkit offensivo in continua evoluzione del collettivo di hacking nordcoreano noto come Kimsuky APT, anche conosciuto come Springtail, richiede una ultra-reattività dai difensori. L’ultimo attacco che sfrutta un insieme di pacchetti software legittimi e abusato dagli avversari per diffondere l’iterazione di malware basato su Linux sottolinea la necessità di incrementare le difese proattive. Il team di SOC Prime cura regole Sigma dedicate per prevenire attacchi di Kimsuky APT che sfruttano il backdoor Gomir disponibile tramite il Esplora le Rilevazioni pulsante qui sotto.
Gli algoritmi di rilevamento sono mappati al framework MITRE ATT&CK® e automaticamente convertibili alle tecnologie SIEM, EDR e Data Lake leader del settore per una rilevazione delle minacce senza soluzione di continuità tra le piattaforme.
Le organizzazioni possono anche fare affidamento sull’intero stack di rilevamento che affronta l’attività degli avversari di Kimsuky APT seguendo questo link per eliminare i rischi di attacchi di cyber-spionaggio correlati e garantire la loro postura di cybersecurity a prova di futuro.
Analisi del Backdoor Gomir
Il noto gruppo di hacking monitorato come Kimsuky APT e collegato al Reconnaissance General Bureau (RGB) della Corea del Nord è attivo nel panorama delle minacce informatiche da oltre dieci anni, con un focus principale sulle operazioni di raccolta di intelligence. Gli attori delle minacce, noti anche come Springtail, Emerald Sleet o THALLIUM, hanno mirato principalmente a entità del settore pubblico sudcoreano. Kimsuky ha esplorato metodi di attacco diversificati, aggiornando frequentemente il suo toolkit di avversari e cambiando i TTP.
Nell’ultima campagna scoperta dai ricercatori di Symantec, il nuovo backdoor (Linux.Gomir) sembra essere l’iterazione basata su Linux del backdoor basato su Windows Go chiamato GoBear. AhnLab SEcurity Intelligence Center (ASEC) ha rivelato ulteriori dettagli sul backdoor Gomir relativi alla sua distribuzione tramite pacchetti di installazione software Trojanizzati scaricati dal sito web di un’associazione legata alla costruzione sudcoreana. Il software sfruttato include nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort, con quest’ultimo obiettivo di un attacco alla supply chain da parte del Gruppo Lazarus nel 2020.
Gomir e GoBear mostrano somiglianze strutturali, evidenziando un significativo sovrapposizione di codice tra i due ceppi dannosi. GoBear è apparso nell’arena delle minacce informatiche a febbraio 2024, collegato a una campagna che impiega un nuovo malware per il furto di informazioni basato su Golang monitorato come Troll Stealer. Quest’ultimo mostra una significativa sovrapposizione di codice con famiglie di malware di Kimsuky precedenti come AppleSeed e AlphaSeed. È notevole che Symantec abbia anche svelato che Troll Stealer è stato distribuito in modo simile tramite pacchetti di installazione Trojanizzati per Wizvera VeraPort. GoBear presenta anche nomi di funzione simili a un vecchio backdoor di Kimsuky denominato BetaSeed, assumendo che entrambe le minacce condividano un’origine comune.
Settimane dopo l’attacco inizialmente scoperto, i difensori hanno rivelato che GoBear è stato distribuito tramite un dropper camuffato da un installatore per un’app associata a un’organizzazione di trasporti coreana. In questo caso, gli attaccanti hanno mascherato il dropper come un installatore con i loghi dell’organizzazione piuttosto che utilizzare un pacchetto software genuino.
La nuova campagna di backdoor basata su Linux consente di eseguire fino a 17 comandi per svolgere attività come operazioni sui file, avviare un proxy inverso, arrestare temporaneamente le comunicazioni C2, eseguire comandi shell e terminare il proprio processo. Gomir controlla la sua linea di comando dopo l’esecuzione. A condizione che rilevi la stringa “installa” come unico argomento, tenta di stabilire la persistenza installandosi.
Questa recente campagna di Kimsuky dimostra la crescente preferenza dell’avversario per l’utilizzo di pacchetti software di installazione e aggiornamenti come vettori d’infezione. Le variazioni di questa tattica avversaria includono attacchi alla supply chain software e pacchetti di installazione software Trojanizzati e fraudolenti. La selezione dei software mirati sembra essere stata accuratamente curata per aumentare le possibilità di intrusioni di successo che mirano alla Corea del Sud.
Per mitigare i rischi legati alle infezioni del backdoor Gomir, Symantec raccomanda di fare riferimento al Bollettino di Protezionecorrispondente del venditore, che dettaglia i potenziali vettori di infezione e le misure di protezione della sicurezza fattibili.
La sofisticazione avanzata e la maggiore varietà di strumenti applicati dal gruppo di cyber-spionaggio Kimsuky alimentano la necessità di una difesa informatica proattiva per prevenire con successo le intenzioni malevole. Affidati a Uncoder AI, suite di Detection Engineering di SOC Prime basata su AI, per semplificare la codifica, la convalida e l’affinamento delle tue regole, accelerare la caccia basata su IOC per cercare rapidamente gli ultimi APT e minacce emergenti di qualsiasi scala, e tradurre automaticamente il tuo codice in diversi linguaggi SIEM, EDR e Data Lake aumentando la produttività e le prestazioni del tuo team di ingegneria.
