Father
Professional
- Messages
- 2,602
- Reaction score
- 760
- Points
- 113
Было замечено, что группа Kimsuky (она же Springtail) advanced persistent threat (APT), которая связана с Генеральным бюро разведки Северной Кореи (RGB), внедрила Linux-версию своего бэкдора GoBear backdoor в рамках кампании, нацеленной на южнокорейские организации.
Бэкдор под кодовым названием Gomir "структурно почти идентичен GoBear, с широким разделением кода между вариантами вредоносного ПО", - говорится в новом отчете команды Symantec Threat Hunter, входящей в состав Broadcom. "Любая функциональность GoBear, зависящая от операционной системы, либо отсутствует, либо реализована заново в Gomir".
GoBear был впервые задокументирован южнокорейской охранной фирмой S2W в начале февраля 2024 года в связи с кампанией по распространению вредоносного ПО под названием Troll Stealer (он же TrollAgent), которое пересекается с известными семействами вредоносных программ Kimsuky, такими как AppleSeed и AlphaSeed.
Последующий анализ, проведенный Центром анализа безопасности AhnLab (ASEC), показал, что вредоносное ПО распространяется с помощью троянских программ безопасности, загруженных с веб-сайта неустановленной южнокорейской ассоциации, связанной со строительством.
Сюда входят nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport и WIZVERA VeraPort, последний из которых ранее подвергся атаке на цепочку поставок программного обеспечения со стороны Lazarus Group в 2020 году.
Компания Symantec заявила, что также обнаружила вредоносное ПО Troll Stealer, доставляемое через нечестные установщики для Wizvera VeraPort, хотя точный механизм распространения, с помощью которого доставляются установочные пакеты, в настоящее время неизвестен.
"GoBear также содержит названия функций, аналогичные более старому Springtail backdoor, известному как BetaSeed, который был написан на C ++, что позволяет предположить, что обе угрозы имеют общее происхождение", - отметили в компании.
Вредоносное ПО, поддерживающее возможности выполнения команд, полученных с удаленного сервера, также, как говорят, распространяется через дропперы, которые маскируются под поддельный установщик приложения для корейской транспортной организации.
Его аналог в Linux, Gomir, поддерживает целых 17 команд, позволяя своим операторам выполнять файловые операции, запускать обратный прокси-сервер, приостанавливать командно-контрольную связь (C2) на определенный период времени, запускать команды командной строки и завершать собственный процесс.
"Эта последняя кампания Springtail является еще одним доказательством того, что пакеты установки программного обеспечения и обновления в настоящее время являются одними из наиболее популярных переносчиков заражения для северокорейских участников шпионской деятельности", - заявили в Symantec.
"Выбранное программное обеспечение, по-видимому, было тщательно подобрано, чтобы максимизировать шансы заражения предполагаемых целей, базирующихся в Южной Корее".
Бэкдор под кодовым названием Gomir "структурно почти идентичен GoBear, с широким разделением кода между вариантами вредоносного ПО", - говорится в новом отчете команды Symantec Threat Hunter, входящей в состав Broadcom. "Любая функциональность GoBear, зависящая от операционной системы, либо отсутствует, либо реализована заново в Gomir".
GoBear был впервые задокументирован южнокорейской охранной фирмой S2W в начале февраля 2024 года в связи с кампанией по распространению вредоносного ПО под названием Troll Stealer (он же TrollAgent), которое пересекается с известными семействами вредоносных программ Kimsuky, такими как AppleSeed и AlphaSeed.
Последующий анализ, проведенный Центром анализа безопасности AhnLab (ASEC), показал, что вредоносное ПО распространяется с помощью троянских программ безопасности, загруженных с веб-сайта неустановленной южнокорейской ассоциации, связанной со строительством.
Сюда входят nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport и WIZVERA VeraPort, последний из которых ранее подвергся атаке на цепочку поставок программного обеспечения со стороны Lazarus Group в 2020 году.
Компания Symantec заявила, что также обнаружила вредоносное ПО Troll Stealer, доставляемое через нечестные установщики для Wizvera VeraPort, хотя точный механизм распространения, с помощью которого доставляются установочные пакеты, в настоящее время неизвестен.
"GoBear также содержит названия функций, аналогичные более старому Springtail backdoor, известному как BetaSeed, который был написан на C ++, что позволяет предположить, что обе угрозы имеют общее происхождение", - отметили в компании.
Вредоносное ПО, поддерживающее возможности выполнения команд, полученных с удаленного сервера, также, как говорят, распространяется через дропперы, которые маскируются под поддельный установщик приложения для корейской транспортной организации.
Его аналог в Linux, Gomir, поддерживает целых 17 команд, позволяя своим операторам выполнять файловые операции, запускать обратный прокси-сервер, приостанавливать командно-контрольную связь (C2) на определенный период времени, запускать команды командной строки и завершать собственный процесс.
"Эта последняя кампания Springtail является еще одним доказательством того, что пакеты установки программного обеспечения и обновления в настоящее время являются одними из наиболее популярных переносчиков заражения для северокорейских участников шпионской деятельности", - заявили в Symantec.
"Выбранное программное обеспечение, по-видимому, было тщательно подобрано, чтобы максимизировать шансы заражения предполагаемых целей, базирующихся в Южной Корее".
