Detecção do Backdoor Gomir no Linux: APT Kimsuky da Coreia do Norte, também conhecido como Springtail, Espalha Nova Variante de Malware Alvejando Organizações Sul-Coreanas
Índice:
Atenção! O nefasto grupo de ciberespionagem Kimsuky APT, também conhecido como Springtail, enriquece seu conjunto de ferramentas ofensivas com uma nova variante de malware denominada Linux.Gomir. O novo backdoor, que é considerado uma iteração Linux do malware GoBear, é utilizado pelos adversários em ataques cibernéticos contínuos contra organizações sul-coreanas.
Detectar Backdoor Gomir Entregue pelo Kimsuky APT
O conjunto de ferramentas ofensivas em constante evolução do coletivo de hackers norte-coreano conhecido como Kimsuky APT, também chamado de Springtail, exige ultra-responsividade dos defensores. O ataque mais recente que utiliza um conjunto de pacotes de software legítimos e é abusado por adversários para disseminar uma iteração de malware baseada em Linux destaca a necessidade de aumentar as defesas proativas. A equipe da SOC Prime seleciona regras Sigma dedicadas para impedir ataques pelo Kimsuky APT usando o backdoor Gomir disponível pelo Explore Detecções botão abaixo.
Os algoritmos de detecção são mapeados para o framework MITRE ATT&CK® e automaticamente conversíveis para as tecnologias líderes do setor SIEM, EDR e Data Lake para detecção de ameaças multiplataforma e sem interrupções.
As organizações também podem contar com todo o conjunto de detecção que aborda a atividade adversária do Kimsuky APT ao seguir este link para eliminar os riscos de ataques relacionados à ciberespionagem e proteger seu futuro de segurança cibernética.
Análise do Backdoor Gomir
O notório grupo de hackers rastreado como Kimsuky APT e vinculado ao Bureau Geral de Reconhecimento da Coreia do Norte (RGB) tem estado ativo no cenário de ameaças cibernéticas por mais de dez anos, com foco principal em operações de coleta de inteligência. Os atores de ameaça, também conhecidos como Springtail, Emerald Sleet ou THALLIUM, têm como alvo principal entidades do setor público sul-coreano. O Kimsuky explorou diversos métodos de ataque, atualizando frequentemente seu conjunto de ferramentas adversárias e mudando TTPs.
Na última campanha descoberta por pesquisadores da Symantec, o novo backdoor (Linux.Gomir) parece ser a iteração baseada em Linux do backdoor Go baseado em Windows denominado GoBear. Centro de inteligência de segurança AhnLab (ASEC) revelou mais detalhes sobre o backdoor Gomir relacionados à sua entrega por pacotes de instalação de software trojanizados baixados do site de uma associação relacionada à construção na Coreia do Sul. O software explorado inclui o nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort, com o último sendo alvo de um ataque de cadeia de suprimentos pelo Grupo Lazarus em 2020.
Gomir e GoBear compartilham semelhanças estruturais, exibindo uma sobreposição de código significativa entre as duas linhagens maliciosas. GoBear surgiu na arena de ameaças cibernéticas no início de fevereiro de 2024, vinculado a uma campanha empregando um novo malware de roubo de informações baseado em Golang rastreado como Troll Stealer. Este último apresenta uma sobreposição de código significativa com famílias de malware anteriores do Kimsuky, como AppleSeed e AlphaSeed. Notavelmente, a Symantec também revelou que Troll Stealer foi distribuído da mesma forma através de pacotes de instalação trojanizados para o Wizvera VeraPort. GoBear também apresenta nomes de função semelhantes a um backdoor Kimsuky mais antigo denominado BetaSeed, assumindo que ambas as ameaças compartilham uma origem comum.
Semanas depois do ataque inicialmente descoberto, defensores revelaram que o GoBear foi distribuído através de um dropper disfarçado como um instalador para um aplicativo associado a uma organização de transporte coreana. Neste caso, os atacantes mascararam o dropper como um instalador com o logotipo da organização em vez de instrumentalizar um pacote de software genuíno.
A campanha de backdoor baseada em Linux recém-descoberta permite a execução de até 17 comandos para realizar tarefas como operações de arquivos, iniciar um proxy reverso, interromper temporariamente as comunicações C2, executar comandos shell e encerrar seu próprio processo. Gomir verifica sua linha de comando após a execução. Caso detecte a string “install” como seu único argumento, tenta estabelecer persistência instalando-se.
Esta recente campanha do Kimsuky demonstra a crescente preferência do adversário por usar pacotes de instalação de software e atualizações como vetores de infecção. Variações dessa tática adversária incluem ataques de cadeia de suprimentos de software e pacotes de instalação de software trojanizados e fraudulentos. A seleção de software alvo parece ter sido cuidadosamente organizada para aumentar as chances de intrusões bem-sucedidas visando a Coreia do Sul.
Para mitigar os riscos relacionados às infecções do backdoor Gomir, a Symantec recomenda consultar o Boletim de Proteçãocorrespondente do fornecedor, que detalha os potenciais vetores de infecção e medidas de proteção de segurança viáveis.
A sofisticação aprimorada e a variedade aumentada de ferramentas aplicadas pelo grupo de ciberespionagem Kimsuky alimentam a necessidade de defesa cibernética proativa para prevenir com sucesso intenções maliciosas. Confie em Uncoder AI, a suíte de Engenharia de Detecção alimentada por IA da SOC Prime, para agilizar sua codificação de regras, validação e ajuste, acelerar a caça baseada em IOC para buscar rapidamente os APTs mais recentes e ameaças emergentes de qualquer escala, e traduzir automaticamente seu código em várias línguas SIEM, EDR e Data Lake enquanto aumenta a produtividade e desempenho de sua equipe de engenharia.