Sandro Sana : 22 Maggio 2024 07:10
La campagna di malware si basa su pacchetti di installazione di Trojan e mira a rubare dati sensibili.
Springtail è il nome di un gruppo di spionaggio nordcoreano, noto anche come Thallium, Kimsuky o Black Banshee, che si occupa di attacchi al settore pubblico sudcoreano. Il gruppo è attivo dal 2012 e ha come obiettivi principali istituzioni governative, organizzazioni di ricerca, università e organi di stampa. Springtail è un gruppo ristretto e specializzato, che ha iniziato a concentrarsi sul settore pubblico sudcoreano nel 2014, quando il governo di Seoul lo ha accusato di essere responsabile di un attacco alla Korea Hydro and Nuclear Power (KHNP). In quell’occasione, diversi dipendenti della KHNP furono bersagliati da email di spear phishing che contenevano exploit che installavano malware che cancellavano i dati dai loro computer. Il governo statunitense ha affermato che il gruppo è una unità dell’organizzazione di intelligence militare nordcoreana, il Reconnaissance General Bureau (RGB).
Springtail usa una varietà di tecniche di attacco, tra cui phishing, spear phishing, exploit di vulnerabilità e attacchi alla catena di fornitura. Il gruppo è stato oggetto di un avviso del governo statunitense nei giorni scorsi a causa dei tentativi di sfruttare le politiche di DNS Domain-based Message Authentication, Reporting and Conformance (DMARC) configurate in modo improprio per nascondere i tentativi di ingegneria sociale. Secondo un rapporto congiunto dell’FBI, del Dipartimento di Stato e della NSA, il gruppo ha condotto campagne di spear phishing fingendosi giornalisti, accademici ed esperti di affari dell’Asia orientale “con collegamenti credibili ai circoli politici nordcoreani”.
La campagna di malware scoperta da Symantec, una società di sicurezza informatica, si basa su pacchetti di installazione Trojan, ovvero software legittimi che vengono modificati per includere codice malevolo. Questi pacchetti vengono distribuiti tramite siti web compromessi o falsi, che inducono gli utenti a scaricarli e ad eseguirli. Una volta installati, i pacchetti rilasciano due tipi di malware: Gomir e Troll Stealer.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
La campagna, che è stata documentata per la prima volta dalla società di sicurezza sudcoreana S2W nel febbraio 2024, ha visto Springtail distribuire una nuova famiglia di malware chiamata Troll Stealer usando pacchetti di installazione Trojan. Troll Stealer può rubare una serie di informazioni dai computer infetti, tra cui file, screenshot, dati del browser e informazioni di sistema. Scritto in Go, come molte nuove famiglie di malware di Springtail, Troll Stealer conteneva una grande quantità di codice in comune con i precedenti malware di Springtail.
La funzionalità di Troll Stealer includeva la capacità di copiare la cartella GPKI (Government Public Key Infrastructure) sui computer infetti. GPKI è lo schema di infrastruttura a chiave pubblica per il personale e le organizzazioni statali sudcoreane, il che suggerisce che le agenzie governative erano tra gli obiettivi della campagna.
S2W ha riferito che il malware è stato distribuito all’interno di pacchetti di installazione per TrustPKI e NX_PRNMAN, software sviluppati da SGA Solutions. I pacchetti di installazione sono stati scaricati da una pagina che era stata reindirizzata da un sito web specifico.
La società di sicurezza sudcoreana AhnLab ha successivamente fornito ulteriori dettagli sui download, affermando che provenivano dal sito web di un’associazione nel settore delle costruzioni. Il sito web richiedeva agli utenti di accedere e i pacchetti interessati erano tra quelli che gli utenti dovevano installare per farlo.
Symantec ha poi scoperto che Troll Stealer è stato anche consegnato in pacchetti di installazione di Trojan per Wizvera VeraPort. Non è chiaro come questi pacchetti di installazione siano stati consegnati durante la campagna attuale. Wizvera VeraPort era stato precedentemente segnalato come compromesso in un attacco alla catena di fornitura di software collegato alla Corea del Nord nel 2020.
Gomir è un nuovo backdoor Linux, ovvero un programma che consente agli aggressori di accedere in modo remoto al sistema infetto e di eseguire comandi arbitrari. Gomir è simile al backdoor GoBear, usato da Springtail in una precedente campagna contro organizzazioni in Corea del Sud. Gomir è in grado di raccogliere informazioni sul sistema, di scaricare e caricare file, di eseguire processi e di comunicare con un server di comando e controllo.
Troll Stealer sembra essere correlato a un altro backdoor basato su Go recentemente scoperto, chiamato GoBear. Entrambe le minacce sono firmate con un certificato legittimo rilasciato a “D2innovation Co., LTD”. GoBear contiene anche nomi di funzioni simili a un vecchio backdoor di Springtail noto come BetaSeed, che era scritto in C ++, il che suggerisce che entrambe le minacce hanno una origine comune.
AhnLab ha successivamente collegato esplicitamente le due minacce, affermando che molti dei pacchetti di installazione dannosi che aveva analizzato contenevano sia Troll Stealer che uno dei backdoor GoBear o BetaSeed, che ha chiamato la famiglia di malware Endoor.
Alcune settimane dopo, GoBear veniva distribuito da un dropper che si fingeva un installatore per un’applicazione per un’organizzazione di trasporti coreana. In questo caso, gli aggressori non hanno trojanizzato un pacchetto software legittimo, ma hanno invece travestito il dropper come un installatore con i loghi dell’organizzazione. Il dropper era firmato con quello che sembrava essere un certificato rubato.
La campagna di malware evidenzia un crescente focus dei gruppi di spionaggio nordcoreani sui software di installazione e aggiornamenti come vettori di infezione preferiti. Questa tecnica permette di sfruttare la fiducia degli utenti nei software legittimi e di eludere le misure di sicurezza. Inoltre, la campagna dimostra la capacità di Springtail di sviluppare e usare nuovi strumenti di attacco, come i backdoor Gomir e GoBear, per colpire i suoi obiettivi. Infine, la campagna mostra l’intento di Springtail di raccogliere informazioni sensibili e di valore dal settore pubblico sudcoreano, forse per scopi di spionaggio, sabotaggio o estorsione.
Questa ultima campagna di Springtail fornisce ulteriori prove che i pacchetti di installazione software e gli aggiornamenti sono ora tra i vettori di infezione più favoriti dagli attori di spionaggio nordcoreani. Le varianti di questa tattica includono: attacchi alla catena di fornitura di software, pacchetti di installazione di Trojan, pacchetti di installazione software falsi. L’esempio più noto fino ad oggi è l’attacco alla catena di fornitura di 3CX, che a sua volta era il risultato del precedente attacco alla catena di fornitura di X_Trader. Springtail, invece, si è concentrato su pacchetti di installazione di Trojan ospitati su siti di terze parti che richiedono la loro installazione o che si spacciano per app ufficiali. Il software preso di mira sembra essere stato scelto con cura per massimizzare le possibilità di infettare i suoi obiettivi sudcoreani.
Symantec fornisce aggiornamenti sulla protezione e suggerisce di visitare il Symantec Protection Bulletin per le ultime novità. Vengono anche forniti indicatori di compromissione (IOC) per aiutare a identificare le minacce. Alcune raccomandazioni generali per prevenire e contrastare la campagna di malware sono:
Sandro SanaL’intelligenza artificiale sta diventando sempre più un assistente per i programmatori, ma uno studio di Veracode ha dimostrato che la praticità comporta un rischio per la sicurezza. ...
Un annuncio apparso su un forum online, datato 26 luglio 2025, ha catturato la nostra attenzione: un utente di nome “Bucad” pubblicizza la vendita di un “iOS RCE Exploit 0day | Ze...
In relazione al nostro precedente articolo relativo ai bug di sicurezza rilevati sui dispositivi Lovesense (azienda leader leader nel settore dei dispositivi tecnologici per l’intimità), l...
“Ho bisogno di un sistema per gestire gli eventi della mia chiesa: volontari, iscrizioni, organizzazione degli eventi per la comunità”. Due settimane dopo aver scritto questo prompt...
Un utente con il nickname Tsar0Byte ha pubblicato su DarkForums, uno dei forum underground più noti nell’ambiente cybercrime, un annuncio scioccante: la presunta compromissione di dati sen...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
