Springtail APT IOCs

security IOC

Команда Symantec Threat Hunter обнаружила новый бэкдор для Linux, связанный с северокорейской шпионской группой Springtail. Этот бэкдор, названный Linux.Gomir, является Linux-версией бэкдора GoBear, использованного в недавней кампании Springtail против организаций в Южной Корее. Оба бэкдора имеют схожие структуры и коды, что говорит о возможном обмене кодом между ними.

Springtail - это группа шпионажа, которая изначально направлена на атаки на государственные организации в Южной Корее. Они были причастны к атакам на корейскую энергетическую компанию и являются подразделением северокорейской военной разведки. Последние дни они были предметом предупреждения правительства США из-за использования неправильно настроенных политик записи DNS для сокрытия попыток социальной инженерии.

В рамках кампании Springtail использовало новое семейство вредоносных программ Troll Stealer, которые распространялись через троянские пакеты для установки программного обеспечения. Troll Stealer способен похищать информацию с зараженных компьютеров.

Компания S2W сообщила, что Troll Stealer был распространен внутри установочных пакетов TrustPKI и NX_PRNMAN компании SGA Solutions. Затронутые пакеты были загружены с веб-сайта ассоциации в строительном секторе. Также Troll Stealer был обнаружен в установочных пакетах для Wizvera VeraPort, но пока неясно, как они были доставлены во время текущей кампании.

Troll Stealer связан с GoBear, другим бэкдором, подписанным легитимным сертификатом и относящимся к Springtail. Обе угрозы имеют схожие названия функций и изначально были связаны с шпионской группой Springtail. Более широкий анализ показал, что установки Troll Stealer часто содержали бэкдоры GoBear или BetaSeed, которые компания AhnLab называет семейством вредоносных программ Endoor.

Обнаружение Linux-версии бэкдора Gomir подтверждает, что вредоносное ПО Springtail имеет разделение по операционным системам. Хотя функциональность Gomir отличается от Windows-версии GoBear, оба бэкдора имеют схожую структуру и большое количество общего кода.

В целом, эта последняя разработка связана с активностями северокорейской шпионской группы Springtail, которая продолжает использовать модифицированное легитимное программное обеспечение и троянские пакеты для доставки вредоносного ПО.

Indicators of Compromise

IPv4

  • 216.189.159.34

SHA256

  • 30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213
  • 36ea1b317b46c55ed01dd860131a7f6a216de71958520d7d558711e13693c9dc
  • 380ec7396cc67cf1134f8e8cda906b67c70aa5c818273b1db758f0757b955d81
  • 47d084e54d15d5d313f09f5b5fcdea0c9273dcddd9a564e154e222343f697822
  • 5068ead78c226893df638a188fbe7222b99618b7889759e0725d85497f533e98
  • 6c2a8e2bbe4ebf1fb6967a34211281959484032af1d620cbab390e89f739c339
  • 7bd723b5e4f7b3c645ac04e763dfc913060eaf6e136eecc4ee0653ad2056f3a0
  • 831f27eb18caf672d43a5a80590df130b0d3d9e7d08e333b0f710b95f2cde0e0
  • 8898b6b3e2b7551edcceffbef2557b99bdf4d99533411cc90390eeb278d11ac8
  • 8a80b6bd452547650b3e61b2cc301d525de139a740aac9b0da2150ffac986be4
  • 8e45daace21f135b54c515dbd5cf6e0bd28ae2515b9d724ad2d01a4bf10f93bd
  • a98c017d1b9a18195411d22b44dbe65d5f4a9e181c81ea2168794950dc4cbd3c
  • bc4c1c869a03045e0b594a258ec3801369b0dcabac193e90f0a684900e9a582d
  • cc7a123d08a3558370a32427c8a5d15a4be98fb1b754349d1e0e48f0f4cb6bfc
  • d05c50067bd88dae4389e96d7e88b589027f75427104fdb46f8608bbcf89edb4
  • d7f3ecd8939ae8b170b641448ff12ade2163baad05ca6595547f8794b5ad013b
  • ecab00f86a6c3adb5f4d5b16da56e16f8e742adfb82235c505d3976c06c74e20
  • ff945b3565f63cef7bb214a93c623688759ee2805a8c574f00237660b1c4d3fd
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий