LinuxバックドアGomir検知：北朝鮮のKimsuky APT（別名Springtail）が韓国の組織を標的に新しいマルウェア亜種を拡散

ご注意ください！ 悪名高いサイバースパイグループ Kimsuky APT、別名Springtailは、Linux.Gomirと名付けられた新しいマルウェアバリアントで攻撃ツールキットを強化しています。この新しいバックドアは、 GoBearマルウェアのLinux版と見なされ、南韓国の組織に対する継続的なサイバー攻撃に利用されています。

Kimsuky APTが配信するGomirバックドアを検出

Kimsuky APTとしても知られる北朝鮮のハッキング集団が進化させ続ける攻撃ツールキットは、ディフェンダーに超高速の対応を要求します。正当なソフトウェアパッケージを使用してLinuxベースのマルウェアを拡散する最新の攻撃は、プロアクティブな防御の必要性を強調しています。SOC Primeチームは、Kimsuky APTが利用するGomirバックドアを阻止するために専用のSigmaルールを作成し、以下の 検出を探る ボタンで利用可能です。

検出を探る

検出アルゴリズムは、 MITRE ATT&CK®フレームワーク にマッピングされており、業界をリードするSIEM、EDR、およびデータレイク技術に自動的に変換可能です。

組織は、関連するサイバースパイ攻撃のリスクを排除し、サイバーセキュリティの体制を将来にわたって支えるために、 このリンク を辿ることで、Kimsuky APTの敵対者活動に対応する全体の検出スタックに依存することもできます。

Gomirバックドア分析

悪名高いハッキンググループは Kimsuky APT と追跡され、北朝鮮の偵察総局（RGB）に関連付けられており、10年以上にわたりサイバー脅威の分野で活動しており、情報収集活動に主眼を置いています。 Springtail、Emerald Sleet、またはTHALLIUMとしても知られる脅威アクターは、主に南韓国の公共部門の組織を標的にしてきました。Kimsukyは多様な攻撃手法を探求し、アドバーサリー・ツールキットを頻繁に更新し、TTPを変更しています。

Symantecの研究者によって発見された最新の キャンペーンでは、新しいバックドア（Linux.Gomir）は、WindowsのGoベースのバックドアであるGoBearのLinux版であるようです。 AhnLab SEcurity Intelligence Center (ASEC) は、南韓国の建設関連団体のウェブサイトからダウンロードされたトロイの木馬化されたソフトウェアインストールパッケージを通じてGomirバックドアが配信された詳細をさらに明らかにしました。悪用されたソフトウェアには、nProtect Online Security、NX_PRNMAN、TrustPKI、UbiReport、WIZVERA VeraPortが含まれており、後者は2020年に Lazarus Group によってサプライチェーン攻撃でターゲットにされました。

GomirとGoBearは構造の類似性を持ち、2つの悪意ある系統の間で重大なコードの重複を示しています。GoBearは2024年2月初旬に脅威の分野に登場し、新しいGolangベースの情報窃盗マルウェアであるTroll Stealerとして追跡されたキャンペーンに関連付けられました。後者は、AppleSeedやAlphaSeedのような以前のKimsukyマルウェアファミリーと重大なコードの重複を示しています。特に、SymantecはTroll Stealerが同様にWizvera VeraPortのトロイの木馬化されたインストールパッケージを通じて配布されたことも明らかにしました。GoBearも、Kimsukyの古いバックドアであるBetaSeedに類似した関数名を持ち、両方の脅威が共通の起源を持つと仮定されています。 Troll Stealer. The latter displays significant code overlap with earlier Kimsuky malware families like AppleSeed and AlphaSeed. Notably, Symantec has also unveiled that Troll Stealer was similarly distributed through Trojanized installation packages for Wizvera VeraPort. GoBear also features similar function names to an older Kimsuky backdoor dubbed BetaSeed, assuming that both threats share a common origin. 

最初に発見された攻撃の数週間後、ディフェンダーはGoBearが韓国の交通組織に関連するアプリのインストーラーになりすましてドロッパーを経由して配布されていたことを明かしました。このケースでは、攻撃者は本物のソフトウェアパッケージを武器にするのではなく、組織のロゴを持つインストーラーとしてドロッパーを偽装しました。

新たに発見されたLinuxベースのバックドアキャンペーンでは、ファイル操作、リバースプロキシの開始、C2コミュニケーションの一時停止、シェル命令の実行、自身のプロセスの終了などの作業を行うために最大17のコマンドを実行できます。Gomirは実行後にコマンドラインを確認します。また、唯一の引数として文字列「install」を検出すると、自己インストールを行い持続性を確立しようとします。

この最近のKimsukyキャンペーンは、敵対者が感染経路としてソフトウェアインストールパッケージと更新の利用を好む傾向を示しています。この敵対者の手法の変種には、ソフトウェアのサプライチェーン攻撃やトロイの木馬化されたソフトウェアインストールパッケージが含まれます。標的とするソフトウェアの選別は、南韓国を狙った成功の可能性を高めるために慎重にキュレーションされたように思われます。

Gomirバックドア感染に関連するリスクを緩和するために、Symantecはベンダーの該当する 保護通告を参照することを推奨しており、潜在的な感染経路と実現可能なセキュリティ保護手段を詳述しています。

Kimsukyサイバースパイグループが適用するツールの高度化と多様化は、敵対的な意図を成功裏に予防するためのプロアクティブなサイバー防御の必要性を促進します。 Uncoder AI、SOC PrimeのAI駆動の検出エンジニアリングスイートを活用して、ルールのコーディング、検証、微調整を合理化し、IOCベースのハンティングを加速して、最新のAPTやあらゆる規模の新たな脅威を迅速に検索し、SIEM、EDR、データレイク言語間でのコード自動翻訳を行いながら、エンジニアリングチームの生産性とパフォーマンスを向上させます。