innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

北朝鮮関連APT、韓国組織狙う新型Linuxマルウェア「Gomir」展開

北朝鮮関連APT、韓国組織狙う新型Linuxマルウェア「Gomir」展開 - innovaTopia - (イノベトピア)

Last Updated on 2024-06-30 04:05 by admin

Kimsuky(別名Springtail)APTグループは、北朝鮮の偵察総局(RGB)に関連しており、韓国の組織を対象としたキャンペーンの一環として、LinuxバージョンのGoBearバックドアであるGomirを展開していることが観察された。GomirはGoBearと「構造的にほぼ同一で、マルウェアのバリアント間でコードが広範囲に共有されている」とSymantec Threat Hunter Team(Broadcomの一部)が新しいレポートで述べている。GoBearは2024年2月初旬に韓国のセキュリティ会社S2Wによって初めて文書化され、Troll Stealer(別名TrollAgent)というマルウェアを配信するキャンペーンと関連しており、これはKimsukyの既知のマルウェアファミリーであるAppleSeedやAlphaSeedと重複している。AhnLab Security Intelligence Center(ASEC)による後続の分析では、このマルウェアは、特定されていない韓国の建設関連協会のウェブサイトからダウンロードされたトロイの木馬化されたセキュリティプログラムを介して配布されていることが明らかにされた。これには、nProtect Online Security、NX_PRNMAN、TrustPKI、UbiReport、WIZVERA VeraPortが含まれ、後者は2020年にLazarus Groupによるソフトウェアサプライチェーン攻撃の対象となっていた。Symantecは、Wizvera VeraPortの悪質なインストーラーを介してTroll Stealerマルウェアが配信されていることも観察しているが、インストールパッケージがどのように配信されるかについては現在不明である。また、GoBearはC++で書かれた古いSpringtailバックドアであるBetaSeedと同様の関数名を含んでおり、両方の脅威が共通の起源を持っていることを示唆していると同社は指摘している。このマルウェアは、リモートサーバーから受信したコマンドを実行する機能をサポートしており、偽のインストーラーを装ったドロッパーを介して拡散されるとされている。Linux版のGomirは、最大17のコマンドをサポートし、ファイル操作、リバースプロキシの開始、指定された時間の間、コマンドアンドコントロール(C2)通信の一時停止、シェルコマンドの実行、自身のプロセスの終了などの操作を実行者が行えるようにしている。Symantecは、「この最新のSpringtailキャンペーンは、ソフトウェアのインストールパッケージとアップデートが現在、北朝鮮のスパイ活動を行うアクターにとって最も好まれる感染経路の一つであることをさらに証明している」と述べている。「ターゲットとされたソフトウェアは、意図された韓国ベースのターゲットに感染する可能性を最大化するために慎重に選ばれたようである。」

【ニュース解説】

北朝鮮の偵察総局(RGB)に関連するとされるKimsuky(別名Springtail)APTグループが、韓国の組織を狙ったサイバー攻撃キャンペーンの一環として、LinuxバージョンのGoBearバックドアであるGomirを展開していることが明らかになりました。このバックドアは、以前に確認されたGoBearと構造的にほぼ同一であり、多くのコードが共有されていることが特徴です。GoBearは、2024年2月に韓国のセキュリティ会社S2Wによって初めて報告され、Troll Stealer(別名TrollAgent)というマルウェアを配信するキャンペーンと関連していました。このマルウェアは、Kimsukyグループによる以前の攻撃と重複する特徴を持っています。

Gomirは、Linux環境に特化しており、GoBearが持つオペレーティングシステム依存の機能は、欠けているか再実装されています。このマルウェアは、最大17種類のコマンドをサポートし、ファイル操作やリバースプロキシの開始、コマンドアンドコントロール(C2)通信の一時停止、シェルコマンドの実行、自身のプロセスの終了など、多岐にわたる操作が可能です。

この攻撃キャンペーンは、特定されていない韓国の建設関連協会のウェブサイトからダウンロードされたトロイの木馬化されたセキュリティプログラムを介してマルウェアが配布されていることが示されています。これには、nProtect Online SecurityやNX_PRNMAN、TrustPKI、UbiReport、WIZVERA VeraPortなどが含まれており、特にWIZVERA VeraPortは以前にもLazarus Groupによるソフトウェアサプライチェーン攻撃の対象となっていました。

このキャンペーンは、ソフトウェアのインストールパッケージやアップデートが、北朝鮮のスパイ活動を行うアクターにとって最も好まれる感染経路の一つであることを示しています。攻撃者は、韓国ベースのターゲットに感染する可能性を最大化するために、ターゲットとされるソフトウェアを慎重に選んでいるようです。

このような攻撃は、組織が使用するソフトウェアのセキュリティを強化することの重要性を浮き彫りにしています。また、サプライチェーン攻撃への警戒を強め、信頼できるソースからのみソフトウェアをダウンロードし、定期的なセキュリティチェックを行うことが、攻撃を防ぐための鍵となります。さらに、この攻撃は、Linuxシステムもサイバー攻撃の対象となり得ることを示しており、Linuxユーザーもセキュリティ対策を怠らないようにする必要があります。

from Kimsuky APT Deploying Linux Backdoor Gomir in South Korean Cyber Attacks.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 北朝鮮関連APT、韓国組織狙う新型Linuxマルウェア「Gomir」展開

Latest News