در کمپینی جدید از حملات سایبری علیه سازمانهای کره جنوبی، گروه جاسوسی اسپرینگتیل (Springtail) که به عنوان کیمسوکی (Kimsuky) نیز شناخته میشود، یک بدافزار جدید لینوکس با نام Gomir را توسعه داده و آن را در بستههای نرمافزاری قانونی و تروجان شده وارد کرده است. این کشف توسط تیم شکار تهدیدات سیمانتک (Symantec) صورت گرفته و نشاندهنده ادامه تهدیدات این گروه مرتبط با حکومت کره شمالی است.
بدافزار جدید لینوکس.Gomir شباهت ساختاری زیادی با یک بدافزار دیگر به نام GoBear دارد که قبلاً در کمپینهای مشابه مورد استفاده قرار گرفته بود. شباهت کدها و ساختار بین این دو بدافزار حاکی از توسعهی مشترک و برنامهریزی دقیق حملات این گروه است. بدافزار Gomir نشاندهنده سطح بالای تهدیدات سایبری است که به سیستمعاملهای مختلف نفوذ میکنند و تلاش دارند به شبکههای دولتی و سازمانهای حساس دسترسی پیدا کنند.
سابقه گروه اسپرینگتیل
گروه اسپرینگتیل یک گروه جاسوسی سایبری است که از سال ۲۰۱۴ به حملات سایبری علیه سازمانهای دولتی و بخش عمومی کره جنوبی شهرت پیدا کرده است. یکی از اولین حملات بزرگ این گروه، نفوذ به سیستمهای شرکت برق و نیروگاههای هستهای کره جنوبی (KHNP) بود. در این حمله، کارکنان این شرکت با ایمیلهای فیشینگ هدف قرار گرفتند و بدافزارهایی بر روی سیستمهایشان نصب شد که اطلاعات حساس را سرقت کرد.
بر اساس گزارشات دولت ایالات متحده، گروه اسپرینگتیل بخشی از سازمان اطلاعات نظامی کره شمالی به نام دفتر کل شناسایی (RGB) است. این گروه به استفاده از روشهای مهندسی اجتماعی، فیشینگ هدفمند، و بدافزارهای پیچیده شهرت دارد و به طور خاص از راههای پیچیدهای برای نفوذ به سیستمهای قربانیان استفاده میکند.
در یکی از هشدارهای اخیر ایالات متحده، اسپرینگتیل تلاش داشته تا از سیاستهای نامناسب پیکربندی شدهی DMARC (احراز هویت، گزارشدهی و همخوانی دامنه) در حملات فیشینگ خود سوءاستفاده کند. این گروه با جعل هویت روزنامهنگاران، محققان و کارشناسان امور آسیای شرقی، سعی داشته تا به اهداف خود نفوذ کرده و اطلاعات حساس آنها را سرقت کند.
نرمافزارهای تروجان شده و حملات اخیر
حملات اخیر این گروه که در فوریه ۲۰۲۴ توسط شرکت امنیتی کره جنوبی S2W گزارش شد، شامل توزیع بدافزارهای جدیدی مانند Troll Stealer بود. این بدافزار قادر به سرقت اطلاعات گستردهای از کامپیوترهای آلوده، از جمله فایلها، تصاویر، اطلاعات مرورگر و اطلاعات سیستم است. یکی از قابلیتهای قابل توجه Troll Stealer سرقت از فولدر GPKI است که مربوط به زیرساخت کلید عمومی دولت کره جنوبی و نهادهای دولتی میباشد. این نشان میدهد که حملات گروه اسپرینگتیل هدفهای خاصی در میان نهادهای دولتی و حساس دارند.
این بدافزارها به صورت بستههای نصب نرمافزاری تروجان شده مانند TrustPKI و NX_PRNMAN توزیع شدهاند که هر دو از نرمافزارهای توسعهیافته توسط SGA Solutions هستند. این بستهها از طریق وبسایتهای مخرب دانلود میشدند که کاربران را به صفحات دیگری هدایت میکردند.
علاوه بر این، شرکت AhnLab از کره جنوبی اطلاعات بیشتری ارائه کرد که نشان میداد این بدافزارها از وبسایتهای مربوط به بخش ساخت و ساز منتشر شدهاند. کاربران برای دسترسی به این وبسایتها باید وارد سیستم شده و نرمافزارهای مورد نظر را نصب میکردند که بدافزار در آنها جاسازی شده بود.
بدافزار Gomir و شباهت با GoBear
بدافزار Troll Stealer شباهتهایی با یک بکدور دیگر به نام GoBear دارد که هر دو با استفاده از زبان برنامهنویسی Go توسعه یافتهاند. هر دو بدافزار با گواهی دیجیتالی قانونی صادر شده توسط “D2innovation Co., LTD” امضا شدهاند و عملکردهای مشابهی برای نفوذ به سیستمها و سرقت اطلاعات دارند.
در پی تحقیقات بیشتر، شرکت AhnLab اعلام کرد که در بسیاری از نمونههای نرمافزارهای تروجان شدهای که آنالیز کرده، بدافزار Troll Stealer همراه با یکی از بکدورها مانند GoBear یا BetaSeed، که از خانواده بدافزارهای Endoor هستند، وجود داشته است. این موضوع نشاندهنده استفادهی گسترده از بدافزارهای مختلف در حملات مختلف این گروه است.
چند هفته بعد، بدافزار GoBear از طریق یک نرمافزار نصب جعلی برای سازمان حمل و نقل کره توزیع شد. در این حالت، مهاجمان نرمافزار قانونی را تروجان نکردند، بلکه از یک نصبکننده جعلی که لوگوی آن سازمان را استفاده میکرد، برای توزیع بدافزار بهره بردند. این بدافزار نیز با یک گواهی به سرقت رفته امضا شده بود.
نسخه لینوکسی بکدور Gomir
در تحقیقات جدید سیمانتک، نسخه لینوکسی بدافزار GoBear با نام Gomir کشف شد. این بدافزار ساختار تقریباً مشابهی با نسخه ویندوزی خود دارد و بسیاری از کدهای آن به طور مستقیم از GoBear به ارث رسیده است. هرگونه عملکرد وابسته به سیستمعامل ویندوز در Gomir یا حذف شده و یا برای لینوکس بازنویسی شده است.
این بدافزار پس از اجرا، اگر عبارت “install” به عنوان آرگومان به آن داده شود، تلاش میکند تا خودش را به سیستم نصب کرده و دسترسی پایداری ایجاد کند. این عملکرد نشاندهنده تلاش مهاجمان برای ایجاد دسترسی دائمی به سیستمهای قربانی است تا بتوانند در آینده نیز از آنها برای حملات بیشتر استفاده کنند.
حملات گروه اسپرینگتیل و استفاده از بدافزارهای پیچیدهای مانند Gomir و GoBear نشاندهنده افزایش سطح تهدیدات سایبری از سوی کره شمالی است. این گروه با استفاده از تکنیکهای پیچیده، از جمله تروجان کردن نرمافزارهای قانونی و حملات زنجیره تأمین، به سازمانها و نهادهای دولتی حمله میکند. کشف اخیر سیمانتک اهمیت بالای امنیت سایبری و بهروز نگهداشتن سیستمها و نرمافزارها را نشان میدهد تا از ورود بدافزارهای مشابه جلوگیری شود.
با توجه به رشد و گسترش حملات سایبری، نیاز به روشهای نوین و پیشرفته در مقابله با این نوع تهدیدات بیشتر از همیشه احساس میشود. سازمانها باید به صورت مداوم از تکنیکهای امنیتی مدرن استفاده کرده و کارکنان خود را در برابر حملات فیشینگ و مهندسی اجتماعی آموزش دهند تا از نفوذ و خسارتهای احتمالی جلوگیری شود. آلما شبکه، نماینده سیمانتک، ارائه دهنده نرم افزارهای سیمانتک بر پایه لینوکس در ایران می باشد.