리눅스 백도어 Gomir 탐지: 북한 Kimsuky APT, 일명 Springtail이 한국 조직을 겨냥한 새로운 멀웨어 변종 확산

주의하세요! 악명 높은 사이버 스파이 그룹 Kimsuky APT, 일명 Springtail이 새로운 악성코드 변종인 Linux.Gomir을 추가하여 공격 도구를 풍부하게 구성했습니다. 이 새로운 백도어는 GoBear 악성코드의 Linux 버전으로 간주되며, 한국 기관을 대상으로 한 지속적인 사이버 공격에서 공격자에 의해 활용되고 있습니다.

Kimsuky APT에 의해 전달된 Gomir 백도어 탐지

Kimsuky APT, 일명 Springtail로 알려진 이 북한 해킹 집단의 지속적으로 진화하는 공격 도구는 방어자들에게 초응답성을 요구합니다. 상용 소프트웨어 패키지를 활용하고 공격자에 의해 악용된 최신 공격은 리눅스 기반 악성코드의 확산을 강조하며 적극적인 방어 강화의 필요성을 제기합니다. SOC Prime 팀은 Gomir 백도어를 이용하는 Kimsuky APT의 공격을 저지하기 위해 전용 Sigma 규칙을 큐레이션하며 이는 탐지 탐색 버튼을 통해 확인할 수 있습니다.

탐지 탐색

탐지 알고리즘은 MITRE ATT&CK® 프레임워크 에 매핑되며 업계 최고의 SIEM, EDR 및 데이터 레이크 기술로 자동 변환되어 원활한 크로스 플랫폼 위협 탐지를 제공합니다. 

조직은 또한 관련 사이버 스파이 공격의 위험을 제거하고 사이버 보안 자세를 미래에 대비하기 위해 이 링크 를 따라 Kimsuky APT의 적대적인 활동을 다루는 전체 탐지 스택을 신뢰할 수 있습니다. 

Gomir 백도어 분석

악명 높은 해킹 그룹은 Kimsuky APT 으로 추적되며 북한의 정찰총국과 연결되어 있으며 10년 이상 사이버 위협 환경에서 활동하며 정보 수집 작업에 주요 초점을 맞추고 있습니다. Springtail, Emerald Sleet 또는 THALLIUM으로도 알려진 위협 행위자들은 주로 한국의 공공부문 기관을 대상으로 했습니다. Kimsuky는 다양한 공격 방법을 탐구하며 자주 적대적 도구 세트를 업데이트하고 TTP를 변경해왔습니다. 

최신 캠페인이 Symantec 연구원에 의해 발견된에서는 새로운 백도어(Linux.Gomir)가 Windows의 Go 기반 백도어인 GoBear의 리눅스 기반 버전으로 보입니다. AhnLab 보안 인텔리전스 센터(ASEC) 는 남한의 일 건설 연관 협회 웹사이트에서 다운로드된 트로이화된 소프트웨어 설치 패키지를 통해 Gomir 백도어의 전달 방법에 대한 추가 세부 사항을 밝혔습니다. 악용된 소프트웨어에는 nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport, WIZVERA VeraPort 등이 포함되며, 후자는 라자루스 그룹 에 의해 2020년에 공급망 공격의 대상이 되었습니다. 

Gomir와 GoBear는 구조적인 유사성을 가지고 있으며, 두 악성 코드 변종 간에 상당한 코드 중첩을 보여줍니다. GoBear는 2024년 2월 초에 새로운 Golang 기반 정보 탈취 악성 코드인 Troll Stealer에 연결된 캠페인과 함께 사이버 위협 환경에 등장했습니다. Troll Stealer. 후자는 이전의 Kimsuky 악성코드 패밀리인 AppleSeed 및 AlphaSeed와 상당한 코드 중첩을 보여줍니다. 특히, Symantec은 Troll Stealer가 Wizvera VeraPort의 트로이화된 설치 패키지를 통해 유사하게 배포되었다고 밝혔습니다. GoBear는 이전 Kimsuky 백도어인 BetaSeed와 유사한 함수 이름을 가지고 있어, 두 위협이 공통 기원을 공유하는 것으로 추정됩니다. 

처음 발견된 공격 몇 주 후, 방어자들은 GoBear가 한국의 운송 조직 관련 앱 설치 프로그램으로 위장된 드로퍼를 통해 배포되었다고 밝혔습니다. 이 경우, 공격자들은 드로퍼를 진짜 소프트웨어 패키지를 무기화하지 않고 조직의 로고를 포함하는 설치 프로그램으로 위장했습니다. 

새로 발견된 리눅스 기반 백도어 캠페인은 파일 작업 수행, 리버스 프록시 시작, C2 통신의 일시 정지, 셸 명령 실행 그리고 자신의 프로세스 종료 등 17개의 명령을 실행할 수 있게 합니다. Gomir는 실행 후 명령 라인을 확인합니다. 오직 “install” 문자열을 유일한 인수로 탐지하면, 자체 설치를 통해 지속성을 확보하려고 시도합니다.

이 최신 Kimsuky 캠페인은 감염 벡터로 소프트웨어 설치 패키지와 업데이트를 사용하는 공격자의 증가하는 선호도를 보여줍니다. 이 적대적 전술의 변형에는 소프트웨어 공급망 공격과 트로이화된 및 사기성 소프트웨어 설치 패키지가 포함됩니다. 표적이 된 소프트웨어의 선택은 한국을 목표로 하는 성공적인 침투 가능성을 높이기 위해 신중하게 큐레이팅된 것으로 보입니다.

Gomir 백도어 감염과 관련된 위험을 완화하기 위해 Symantec은 가능한 감염 벡터와 실현 가능한 보안 보호 조치를 상세히 설명한 벤더의 보호 게시판을 참조할 것을 권장합니다. 

Kimsuky 사이버 스파이 그룹에 의해 적용된 도구의 강화된 정교함과 증가는 악의적인 의도를 성공적으로 사전에 차단하기 위한 능동적인 사이버 방어의 필요성을 촉발합니다. 신뢰할 수 있는 Uncoder AI, SOC Prime의 AI 기반 탐지 엔지니어링 제품군을 사용하여 규칙 코딩, 검증 및 세부 조정을 간소화하고 IOC 기반 사냥을 가속화하여 최신 APT 및 모든 규모의 새로 떠오르는 위협을 신속하게 검색하고 여러 SIEM, EDR, 데이터 레이크 언어로 코드를 자동으로 번역하며 엔지니어링 팀의 생산성과 성능을 향상시키십시오.