«Kimsuky» հաքերական (APT) հանցախումբը, որն ակտիվորեն համագործակցում է Կորեայի Reconnaissance General բյուրոյի (RGB) հետ, որպես հարավկորեական կազմակերպություններին ուղղված արշավի մի մաս տեղակայում է GoBear backdoor-ի Linux տարբերակը։
Gomir ծածկանունով backdoor–ը «կառուցվածքով գրեթե նույնական է GoBear-ին, չարամիտ ծրագրերի տարբերակների միջև կոդի լայն տարածումով», – ասվում է Broadcom-ի մաս կազմող Symantec Threat Hunter Team-ի նոր զեկույցում: «GoBear-ի ցանկացած գործառույթ, որը կախված է օպերացիոն համակարգից, կա՛մ բացակայում է, կա՛մ վերագործարկված է Gomir-ում»:
GoBear-ն առաջին անգամ փաստաթղթավորվել է հարավկորեական S2W անվտանգության ընկերության կողմից 2024 թվականի փետրվարին։ Troll Stealer malware-ն իր գործելաոճով համընկնում է հայտնի Kimsuky malware ընտանիքներին ինչպիսիք են՝ AppleSeed-ը և AlphaSeed-ը:
AhnLab Security Intelligence Center-ի (ASEC) կողմից իրականացված հետագա վերլուծությունը ցույց տվեց, որ malware-ը տարածվում է տրոյականացված ծրագրերի միջոցով։
Սա ներառում է nProtect Online Security-ն, NX_PRNMAN-ը, TrustPKI-ն, UbiReport-ը և WIZVERA VeraPort-ը, որոնցից վերջինը ենթարկվել էր նախկինում Lazarus Group-ի կողմից իրականացված հարձակմանը։
«Այս վերջին Springtail արշավը հավելյալ անգամ ապացուցում է, որ software installation package-երն ու դրանց թարմացումները Հյուսիսային Կորեայի հովանու ներքո գործող հաքերների ամենանախընտերլի տարբերակն են», – ասում է Symantec-ը:
«Թիրախավորված ծրագրակազմն ու մարտավարական գործելաոճը խնամքով ընտրված է ու մշակված, որպեսզի առավելագույնի հասցնի Հարավային Կորեայում տեղակայված թիրախները որսալու հնարավորությունը»։
Աղբյուրը՝ https://thehackernews.com/
