赛门铁克警告称，Kimsuky APT 在针对韩国的攻击中使用了新 Linux 后门

赛门铁克研究人员观察到与朝鲜有关的APT组织Kimsuky使用名为 Gomir 的新 Linux 后门。该恶意软件是 GoBear 后门的一个新版本，Kimsuky 在最近的一次活动中通过特洛伊木马软件安装包传播该后门。

Kimsuky 网络间谍组织 （又名 Springtail、ARCHIPELAGO、Black Banshee、  Thallium、Velvet Chollima、  APT43）于 2013 年首次被卡巴斯基研究人员发现。该 APT 组织主要针对韩国的智库和组织，其他受害者分布在美国、欧洲和俄罗斯。

Gomir 和 GoBear 共享很大一部分代码。

韩国安全公司 S2W 的研究人员于 2024 年 2 月首次发现了该活动，观察到攻击者使用特洛伊木马软件安装包传播名为 Troll Stealer 的新恶意软件系列。

Troll Stealer 支持多种窃取功能，它允许操作员收集文件、屏幕截图、浏览器数据和系统信息。

恶意代码是用 Go 编写的，研究人员注意到 Troll Stealer 包含与早期 Kimsuky 恶意软件大量代码重叠的内容。

Troll Stealer 还可以复制受感染计算机上的 GPKI（政府公钥基础设施）文件夹。GPKI 是韩国政府人员和国家组织的公钥基础设施架构，这表明政府机构是国家资助的黑客的攻击目标之一。

该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。

赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。

WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。

该恶意软件分布在 TrustPKI 和 NX_PRNMAN（由 SGA Solutions 开发的软件）的安装包中。受害者从特定网站重定向的页面下载了软件包。

赛门铁克还发现 Troll Stealer 也在Wizvera VeraPort的特洛伊木马安装包中提供。

WIZVERA VeraPort 集成安装程序用于管理访问特定政府和银行域所需的附加安全软件（例如，浏览器插件、安全软件、身份验证软件等）。WIZVERA VeraPort 用于对下载进行数字签名和验证。

此前有报道称，Wizvera VeraPort 受到了 与朝鲜有联系的组织Lazarus发起的供应链攻击。

“Troll Stealer 似乎与最近发现的另一个名为 GoBear 的基于 Go 语言编写的后门有关。这两种威胁均使用颁发给“D2innovation Co.,LTD”的合法证书进行签名。GoBear 还包含与旧版 Springtail 后门（称为 BetaSeed）类似的函数名称，后者是用 C++ 编写的，这表明这两种威胁具有共同的起源。”赛门铁克发布的报告中写道。

执行时，恶意软件会检查组 ID 值以确定其是否在 Linux 计算机上作为组 0（组与超级用户或管理权限关联）运行。

恶意代码汇集了要执行的命令，研究人员观察到它支持多个命令。包括

Gomir和GoBear Windows后门支持几乎相同的命令。

最新的 Kimsuky 活动强调，朝鲜间谍活动越来越青睐软件安装包和更新作为感染媒介。专家们注意到，木马软件安装程序和虚假软件安装程序已转向软件供应链攻击。一个突出的例子是3CX 供应链攻击，源于早期的 X_Trader 攻击。

“最新的 Springtail 活动提供了进一步的证据，表明软件安装包和更新现在是朝鲜间谍活动者最喜欢的感染媒介之一。”报告总结道。“与此同时，Springtail 专注于第三方网站上托管的木马软件安装程序，需要安装或伪装成官方应用程序。目标软件似乎是经过精心挑选的，以最大限度地提高感染韩国目标的机会。”

该报告还提供了最新活动中使用工件的威胁检测指标（IOCs） ，包括 Troll Stealer、Gomir 和 GoBear dropper。

   END