Er is waargenomen dat de Kimsuky (ook bekend als Springtail) Advanced Persistent Threat (APT)-groep, die verbonden is met het Noord-Koreaanse Reconnaissance General Bureau (RGB), een Linux-versie van zijn GoBear-achterdeur inzet als onderdeel van een campagne gericht op Zuid-Koreaanse organisaties.
De achterdeur, met codenaam Gomir, is “structureel vrijwel identiek aan GoBear, met een uitgebreide uitwisseling van code tussen malwarevarianten”, aldus het Symantec Threat Hunter Team, onderdeel van Broadcom, in een nieuw rapport. “Elke functionaliteit van GoBear die afhankelijk is van het besturingssysteem ontbreekt of is opnieuw geïmplementeerd in Gomir.”
GoBear werd begin februari 2024 voor het eerst gedocumenteerd door het Zuid-Koreaanse beveiligingsbedrijf S2W in verband met een campagne die malware afleverde genaamd Troll Stealer (ook bekend als TrollAgent), die overlapt met bekende Kimsuky-malwarefamilies zoals AppleSeed en AlphaSeed.
Uit een daaropvolgende analyse door het AhnLab Security Intelligence Center (ASEC) bleek dat de malware wordt verspreid via trojan-beveiligingsprogramma's die zijn gedownload van de website van een niet nader gespecificeerde Zuid-Koreaanse bouwgerelateerde vereniging.
Dit omvat nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport en WIZVERA VeraPort, waarvan de laatste in 2020 eerder werd onderworpen aan een software supply chain-aanval door de Lazarus Group.
Symantec zei dat het ook heeft waargenomen dat de Troll Stealer-malware wordt afgeleverd via malafide installatieprogramma's voor Wizvera VeraPort, hoewel het exacte distributiemechanisme waarmee de installatiepakketten worden afgeleverd momenteel onbekend is.
“GoBear bevat ook soortgelijke functienamen als een oudere Springtail-backdoor, bekend als BetaSeed, die is geschreven in C++, wat erop wijst dat beide bedreigingen een gemeenschappelijke oorsprong hebben”, aldus het bedrijf.
De malware, die mogelijkheden ondersteunt om opdrachten uit te voeren die zijn ontvangen van een externe server, zou ook worden verspreid via droppers die zich voordoen als een nep-installatieprogramma voor een app van een Koreaanse transportorganisatie.
Zijn Linux-tegenhanger, Gomir, ondersteunt maar liefst 17 commando's, waardoor de operators bestandsbewerkingen kunnen uitvoeren, een reverse proxy kunnen starten, command-and-control (C2)-communicatie voor een bepaalde tijdsduur kunnen pauzeren, shell-commando's kunnen uitvoeren en zijn eigen commando's kunnen beëindigen. proces.
“Deze nieuwste Springtail-campagne levert verder bewijs dat software-installatiepakketten en -updates nu tot de meest favoriete infectievectoren voor Noord-Koreaanse spionageactoren behoren”, aldus Symantec.
“De beoogde software lijkt zorgvuldig gekozen te zijn om de kansen op besmetting van de beoogde Zuid-Koreaanse doelwitten te maximaliseren.”