Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Springtail: il gruppo di spionaggio nordcoreano che usa un nuovo backdoor Linux per colpire il settore pubblico sudcoreano

Sandro Sana : 22 Maggio 2024 07:10

La campagna di malware si basa su pacchetti di installazione di Trojan e mira a rubare dati sensibili.

Chi è Springtail?

Springtail è il nome di un gruppo di spionaggio nordcoreano, noto anche come Thallium, Kimsuky o Black Banshee, che si occupa di attacchi al settore pubblico sudcoreano. Il gruppo è attivo dal 2012 e ha come obiettivi principali istituzioni governative, organizzazioni di ricerca, università e organi di stampa. Springtail è un gruppo ristretto e specializzato, che ha iniziato a concentrarsi sul settore pubblico sudcoreano nel 2014, quando il governo di Seoul lo ha accusato di essere responsabile di un attacco alla Korea Hydro and Nuclear Power (KHNP). In quell’occasione, diversi dipendenti della KHNP furono bersagliati da email di spear phishing che contenevano exploit che installavano malware che cancellavano i dati dai loro computer. Il governo statunitense ha affermato che il gruppo è una unità dell’organizzazione di intelligence militare nordcoreana, il Reconnaissance General Bureau (RGB).

Springtail usa una varietà di tecniche di attacco, tra cui phishing, spear phishing, exploit di vulnerabilità e attacchi alla catena di fornitura. Il gruppo è stato oggetto di un avviso del governo statunitense nei giorni scorsi a causa dei tentativi di sfruttare le politiche di DNS Domain-based Message Authentication, Reporting and Conformance (DMARC) configurate in modo improprio per nascondere i tentativi di ingegneria sociale. Secondo un rapporto congiunto dell’FBI, del Dipartimento di Stato e della NSA, il gruppo ha condotto campagne di spear phishing fingendosi giornalisti, accademici ed esperti di affari dell’Asia orientale “con collegamenti credibili ai circoli politici nordcoreani”.

Come funziona la campagna di malware?

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

La campagna di malware scoperta da Symantec, una società di sicurezza informatica, si basa su pacchetti di installazione Trojan, ovvero software legittimi che vengono modificati per includere codice malevolo. Questi pacchetti vengono distribuiti tramite siti web compromessi o falsi, che inducono gli utenti a scaricarli e ad eseguirli. Una volta installati, i pacchetti rilasciano due tipi di malware: Gomir e Troll Stealer.

La campagna, che è stata documentata per la prima volta dalla società di sicurezza sudcoreana S2W nel febbraio 2024, ha visto Springtail distribuire una nuova famiglia di malware chiamata Troll Stealer usando pacchetti di installazione Trojan. Troll Stealer può rubare una serie di informazioni dai computer infetti, tra cui file, screenshot, dati del browser e informazioni di sistema. Scritto in Go, come molte nuove famiglie di malware di Springtail, Troll Stealer conteneva una grande quantità di codice in comune con i precedenti malware di Springtail.

La funzionalità di Troll Stealer includeva la capacità di copiare la cartella GPKI (Government Public Key Infrastructure) sui computer infetti. GPKI è lo schema di infrastruttura a chiave pubblica per il personale e le organizzazioni statali sudcoreane, il che suggerisce che le agenzie governative erano tra gli obiettivi della campagna.

S2W ha riferito che il malware è stato distribuito all’interno di pacchetti di installazione per TrustPKI e NX_PRNMAN, software sviluppati da SGA Solutions. I pacchetti di installazione sono stati scaricati da una pagina che era stata reindirizzata da un sito web specifico.

La società di sicurezza sudcoreana AhnLab ha successivamente fornito ulteriori dettagli sui download, affermando che provenivano dal sito web di un’associazione nel settore delle costruzioni. Il sito web richiedeva agli utenti di accedere e i pacchetti interessati erano tra quelli che gli utenti dovevano installare per farlo.

Symantec ha poi scoperto che Troll Stealer è stato anche consegnato in pacchetti di installazione di Trojan per Wizvera VeraPort. Non è chiaro come questi pacchetti di installazione siano stati consegnati durante la campagna attuale. Wizvera VeraPort era stato precedentemente segnalato come compromesso in un attacco alla catena di fornitura di software collegato alla Corea del Nord nel 2020.

Che cosa è Gomir?

Gomir è un nuovo backdoor Linux, ovvero un programma che consente agli aggressori di accedere in modo remoto al sistema infetto e di eseguire comandi arbitrari. Gomir è simile al backdoor GoBear, usato da Springtail in una precedente campagna contro organizzazioni in Corea del Sud. Gomir è in grado di raccogliere informazioni sul sistema, di scaricare e caricare file, di eseguire processi e di comunicare con un server di comando e controllo.

Troll Stealer sembra essere correlato a un altro backdoor basato su Go recentemente scoperto, chiamato GoBear. Entrambe le minacce sono firmate con un certificato legittimo rilasciato a “D2innovation Co., LTD”. GoBear contiene anche nomi di funzioni simili a un vecchio backdoor di Springtail noto come BetaSeed, che era scritto in C ++, il che suggerisce che entrambe le minacce hanno una origine comune.

AhnLab ha successivamente collegato esplicitamente le due minacce, affermando che molti dei pacchetti di installazione dannosi che aveva analizzato contenevano sia Troll Stealer che uno dei backdoor GoBear o BetaSeed, che ha chiamato la famiglia di malware Endoor.

Alcune settimane dopo, GoBear veniva distribuito da un dropper che si fingeva un installatore per un’applicazione per un’organizzazione di trasporti coreana. In questo caso, gli aggressori non hanno trojanizzato un pacchetto software legittimo, ma hanno invece travestito il dropper come un installatore con i loghi dell’organizzazione. Il dropper era firmato con quello che sembrava essere un certificato rubato.

Quali sono le implicazioni della campagna di malware?

La campagna di malware evidenzia un crescente focus dei gruppi di spionaggio nordcoreani sui software di installazione e aggiornamenti come vettori di infezione preferiti. Questa tecnica permette di sfruttare la fiducia degli utenti nei software legittimi e di eludere le misure di sicurezza. Inoltre, la campagna dimostra la capacità di Springtail di sviluppare e usare nuovi strumenti di attacco, come i backdoor Gomir e GoBear, per colpire i suoi obiettivi. Infine, la campagna mostra l’intento di Springtail di raccogliere informazioni sensibili e di valore dal settore pubblico sudcoreano, forse per scopi di spionaggio, sabotaggio o estorsione.

Questa ultima campagna di Springtail fornisce ulteriori prove che i pacchetti di installazione software e gli aggiornamenti sono ora tra i vettori di infezione più favoriti dagli attori di spionaggio nordcoreani. Le varianti di questa tattica includono: attacchi alla catena di fornitura di software, pacchetti di installazione di Trojan, pacchetti di installazione software falsi. L’esempio più noto fino ad oggi è l’attacco alla catena di fornitura di 3CX, che a sua volta era il risultato del precedente attacco alla catena di fornitura di X_Trader. Springtail, invece, si è concentrato su pacchetti di installazione di Trojan ospitati su siti di terze parti che richiedono la loro installazione o che si spacciano per app ufficiali. Il software preso di mira sembra essere stato scelto con cura per massimizzare le possibilità di infettare i suoi obiettivi sudcoreani.

Come proteggersi e mitigare la minaccia?

Symantec fornisce aggiornamenti sulla protezione e suggerisce di visitare il Symantec Protection Bulletin per le ultime novità. Vengono anche forniti indicatori di compromissione (IOC) per aiutare a identificare le minacce. Alcune raccomandazioni generali per prevenire e contrastare la campagna di malware sono:

  • Verificare la fonte e l’autenticità dei software da scaricare ed eseguire, controllando le firme digitali, le recensioni e le reputazioni.
  • Evitare di aprire allegati o link sospetti provenienti da email o messaggi non richiesti o non verificati.
  • Mantenere aggiornati i sistemi operativi, i browser e i programmi antivirus, applicando le patch di sicurezza disponibili.
  • Usare password forti e uniche per i diversi account e servizi online, e cambiare le password regolarmente.
  • Effettuare backup regolari dei dati importanti e conservarli in un luogo sicuro e separato dal computer.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
Visita il sito web dell'autore

Articoli in evidenza

Kidflix è crollato! La piattaforma dell’orrore è stata smantellata: 79 arresti e 39 bambini salvati

Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...

Arriva Flipper One! : Kali Linux, FPGA e SDR in un solo dispositivo?

Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...

DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...