북한의 해커 그룹인 Kimsuky가 트로이 목마화된 소프트웨어 패키지를 사용하여 새로운 리눅스 악성 코드인 Gomir를 전달하고 있습니다. Kimsuky는 북한의 군사 정보 기관인 RGB와 연결된 국가 후원 위협 행위자로, 2024년 2월 초에는 다양한 소프트웨어 솔루션의 트로이 목마화된 버전을 사용하여 남한의 목표를 Troll Stealer와 GoBear라는 윈도우용 악성 코드로 감염시켰습니다.

Symantec의 연구원들은 이와 같은 캠페인을 조사하면서, 남한 정부 기관을 대상으로 한 새로운 악성 도구를 발견했습니다. 이 도구는 GoBear 백도어의 리눅스 버전인 것으로 보이는 Gomir 백도어입니다. Gomir는 GoBear와 많은 유사성을 공유하며, 직접적인 명령 및 제어(C2) 통신, 지속성 메커니즘, 그리고 광범위한 명령 실행을 지원합니다.

연구원들은 공급망 공격(소프트웨어, 트로이 목마화된 설치 프로그램, 가짜 설치 프로그램)이 북한의 스파이 행위자들에게 선호되는 공격 방법이라고 믿고 있습니다. 트로이 목마화될 소프트웨어의 선택은 "남한 기반의 목표를 감염시킬 가능성을 극대화하기 위해 신중하게 선택된 것으로 보인다."라고 연구원들은 지적했습니다.

요약

- 북한의 해커 그룹 Kimsuky가 트로이 목마화된 소프트웨어 패키지를 사용하여 새로운 리눅스 악성 코드인 Gomir를 전달하고 있다.
- Symantec의 연구원들은 남한 정부 기관을 대상으로 한 캠페인에서 Gomir 백도어라는 새로운 악성 도구를 발견했다.
- 연구원들은 공급망 공격이 북한의 스파이 행위자들에게 선호되는 공격 방법이라고 믿고 있다.
- 트로이 목마화될 소프트웨어의 선택은 "남한 기반의 목표를 감염시킬 가능성을 극대화하기 위해 신중하게 선택된 것으로 보인다."라고 연구원들은 지적했다.
- Symantec의 보고서에는 이 캠페인에서 관찰된 여러 악성 도구, Gomir, Troll Stealer, GoBear dropper 등에 대한 타협의 표시가 포함되어 있다.

Reference

https://www.bleepingcomputer.com/news/security/kimsuky-hackers-deploy-new-linux-backdoor-in-attacks-on-south-korea/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*