وبلاگ

کشف جدید سیمانتک، بدافزار جدید لینوکس توسط گروه اسپرینگ‌تیل

 در کمپینی جدید از حملات سایبری علیه سازمان‌های کره جنوبی، گروه جاسوسی اسپرینگ‌تیل (Springtail) که به عنوان کیمسوکی (Kimsuky) نیز شناخته می‌شود، یک بدافزار جدید لینوکس با نام Gomir را توسعه داده و آن را در بسته‌های نرم‌افزاری قانونی و تروجان شده وارد کرده است. این کشف توسط تیم شکار تهدیدات سیمانتک (Symantec) صورت گرفته و نشان‌دهنده ادامه تهدیدات این گروه مرتبط با حکومت کره شمالی است.

 

بدافزار جدید لینوکس.Gomir شباهت ساختاری زیادی با یک بدافزار دیگر به نام GoBear دارد که قبلاً در کمپین‌های مشابه مورد استفاده قرار گرفته بود. شباهت کدها و ساختار بین این دو بدافزار حاکی از توسعه‌ی مشترک و برنامه‌ریزی دقیق حملات این گروه است. بدافزار Gomir نشان‌دهنده سطح بالای تهدیدات سایبری است که به سیستم‌عامل‌های مختلف نفوذ می‌کنند و تلاش دارند به شبکه‌های دولتی و سازمان‌های حساس دسترسی پیدا کنند.

 

سابقه گروه اسپرینگ‌تیل

گروه اسپرینگ‌تیل یک گروه جاسوسی سایبری است که از سال ۲۰۱۴ به حملات سایبری علیه سازمان‌های دولتی و بخش عمومی کره جنوبی شهرت پیدا کرده است. یکی از اولین حملات بزرگ این گروه، نفوذ به سیستم‌های شرکت برق و نیروگاه‌های هسته‌ای کره جنوبی (KHNP) بود. در این حمله، کارکنان این شرکت با ایمیل‌های فیشینگ هدف قرار گرفتند و بدافزارهایی بر روی سیستم‌هایشان نصب شد که اطلاعات حساس را سرقت کرد.

 

بر اساس گزارشات دولت ایالات متحده، گروه اسپرینگ‌تیل بخشی از سازمان اطلاعات نظامی کره شمالی به نام دفتر کل شناسایی (RGB) است. این گروه به استفاده از روش‌های مهندسی اجتماعی، فیشینگ هدفمند، و بدافزارهای پیچیده شهرت دارد و به طور خاص از راه‌های پیچیده‌ای برای نفوذ به سیستم‌های قربانیان استفاده می‌کند.

 

در یکی از هشدارهای اخیر ایالات متحده، اسپرینگ‌تیل تلاش داشته تا از سیاست‌های نامناسب پیکربندی شده‌ی DMARC (احراز هویت، گزارش‌دهی و همخوانی دامنه) در حملات فیشینگ خود سوءاستفاده کند. این گروه با جعل هویت روزنامه‌نگاران، محققان و کارشناسان امور آسیای شرقی، سعی داشته تا به اهداف خود نفوذ کرده و اطلاعات حساس آنها را سرقت کند.

 

نرم‌افزارهای تروجان شده و حملات اخیر

حملات اخیر این گروه که در فوریه ۲۰۲۴ توسط شرکت امنیتی کره جنوبی S2W گزارش شد، شامل توزیع بدافزارهای جدیدی مانند Troll Stealer بود. این بدافزار قادر به سرقت اطلاعات گسترده‌ای از کامپیوترهای آلوده، از جمله فایل‌ها، تصاویر، اطلاعات مرورگر و اطلاعات سیستم است. یکی از قابلیت‌های قابل توجه Troll Stealer سرقت از فولدر GPKI است که مربوط به زیرساخت کلید عمومی دولت کره جنوبی و نهادهای دولتی می‌باشد. این نشان می‌دهد که حملات گروه اسپرینگ‌تیل هدف‌های خاصی در میان نهادهای دولتی و حساس دارند.

 

این بدافزارها به صورت بسته‌های نصب نرم‌افزاری تروجان شده مانند TrustPKI و NX_PRNMAN توزیع شده‌اند که هر دو از نرم‌افزارهای توسعه‌یافته توسط SGA Solutions هستند. این بسته‌ها از طریق وب‌سایت‌های مخرب دانلود می‌شدند که کاربران را به صفحات دیگری هدایت می‌کردند.

 

علاوه بر این، شرکت AhnLab از کره جنوبی اطلاعات بیشتری ارائه کرد که نشان می‌داد این بدافزارها از وب‌سایت‌های مربوط به بخش ساخت و ساز منتشر شده‌اند. کاربران برای دسترسی به این وب‌سایت‌ها باید وارد سیستم شده و نرم‌افزارهای مورد نظر را نصب می‌کردند که بدافزار در آنها جاسازی شده بود.

 

بدافزار Gomir و شباهت با GoBear

بدافزار Troll Stealer شباهت‌هایی با یک بک‌دور دیگر به نام GoBear دارد که هر دو با استفاده از زبان برنامه‌نویسی Go توسعه یافته‌اند. هر دو بدافزار با گواهی دیجیتالی قانونی صادر شده توسط “D2innovation Co., LTD” امضا شده‌اند و عملکردهای مشابهی برای نفوذ به سیستم‌ها و سرقت اطلاعات دارند.

 

در پی تحقیقات بیشتر، شرکت AhnLab اعلام کرد که در بسیاری از نمونه‌های نرم‌افزارهای تروجان شده‌ای که آنالیز کرده، بدافزار Troll Stealer همراه با یکی از بک‌دورها مانند GoBear یا BetaSeed، که از خانواده بدافزارهای Endoor هستند، وجود داشته است. این موضوع نشان‌دهنده استفاده‌ی گسترده از بدافزارهای مختلف در حملات مختلف این گروه است.

 

چند هفته بعد، بدافزار GoBear از طریق یک نرم‌افزار نصب جعلی برای سازمان حمل و نقل کره توزیع شد. در این حالت، مهاجمان نرم‌افزار قانونی را تروجان نکردند، بلکه از یک نصب‌کننده جعلی که لوگوی آن سازمان را استفاده می‌کرد، برای توزیع بدافزار بهره بردند. این بدافزار نیز با یک گواهی به سرقت رفته امضا شده بود.

 

نسخه لینوکسی بک‌دور Gomir

در تحقیقات جدید سیمانتک، نسخه لینوکسی بدافزار GoBear با نام Gomir کشف شد. این بدافزار ساختار تقریباً مشابهی با نسخه ویندوزی خود دارد و بسیاری از کدهای آن به طور مستقیم از GoBear به ارث رسیده است. هرگونه عملکرد وابسته به سیستم‌عامل ویندوز در Gomir یا حذف شده و یا برای لینوکس بازنویسی شده است.

 

این بدافزار پس از اجرا، اگر عبارت “install” به عنوان آرگومان به آن داده شود، تلاش می‌کند تا خودش را به سیستم نصب کرده و دسترسی پایداری ایجاد کند. این عملکرد نشان‌دهنده تلاش مهاجمان برای ایجاد دسترسی دائمی به سیستم‌های قربانی است تا بتوانند در آینده نیز از آنها برای حملات بیشتر استفاده کنند.

 

حملات گروه اسپرینگ‌تیل و استفاده از بدافزارهای پیچیده‌ای مانند Gomir و GoBear نشان‌دهنده افزایش سطح تهدیدات سایبری از سوی کره شمالی است. این گروه با استفاده از تکنیک‌های پیچیده، از جمله تروجان کردن نرم‌افزارهای قانونی و حملات زنجیره تأمین، به سازمان‌ها و نهادهای دولتی حمله می‌کند. کشف اخیر سیمانتک اهمیت بالای امنیت سایبری و به‌روز نگه‌داشتن سیستم‌ها و نرم‌افزارها را نشان می‌دهد تا از ورود بدافزارهای مشابه جلوگیری شود.

 

با توجه به رشد و گسترش حملات سایبری، نیاز به روش‌های نوین و پیشرفته در مقابله با این نوع تهدیدات بیشتر از همیشه احساس می‌شود. سازمان‌ها باید به صورت مداوم از تکنیک‌های امنیتی مدرن استفاده کرده و کارکنان خود را در برابر حملات فیشینگ و مهندسی اجتماعی آموزش دهند تا از نفوذ و خسارت‌های احتمالی جلوگیری شود. آلما شبکه، نماینده سیمانتک، ارائه دهنده نرم افزارهای سیمانتک بر پایه لینوکس در ایران می باشد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

2 + یک =