Новости Gomir: новый инструмент хакеров из Северной Кореи для атак на Linux

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Правительственные сети Южной Кореи попробовали на себе силу трояна.


9lgdxia99b68099e3pi2y20zq0751dg5.jpg


ИБ-компания Symantec Для просмотра ссылки Войди или Зарегистрируйся новый инструмент северокорейской группировки Kimsuki, который используется для атак на правительственные и коммерческие организации Южной Кореи.

Новое вредоносное ПО получило название Gomir и является Linux-версией известного трояна GoBear, ориентированного на Windows. Новая версия обладает всеми основными функциями своего предшественника, включая прямую связь с C2-сервером, механизмы сохранения в системе и поддержку выполнения широкого спектра команд.

После установки Gomir проверяет значение идентификатора группы, чтобы определить, работает ли он с привилегиями суперпользователя (root). Затем вредоносная программа копирует себя в каталог /var/log/syslogd для обеспечения сохранности в системе. Далее создаётся служба systemd под именем «syslogd», запускается сервис и удаляется исходный исполняемый файл, завершая начальный процесс.

Gomir также пытается настроить команду crontab для выполнения при перезагрузке системы, создавая вспомогательный файл «cron.txt» в текущем рабочем каталоге. Если обновление списка crontab проходит успешно, вспомогательный файл удаляется.

Вредоносная программа поддерживает 17 операций, которые выполняются по командам, полученным через HTTP-запросы POST с C2-сервера. Операции включают приостановку связи с C2-сервером, выполнение произвольных shell-команд, сбор информации о системе (имя хоста, имя пользователя, CPU, RAM, сетевые интерфейсы), создание произвольных файлов на системе и их эксфильтрацию.

Исследователи Symantec отмечают, что набор команд для Gomir почти идентичен командам, поддерживаемым Windows-версией GoBear. Это указывает на использование одинакового подхода в атаках на различные операционные системы, что подтверждает высокий уровень подготовки и организации группировки Kimsuki.

Отчёт Symantec также содержит индикаторы компрометации для множества вредоносных инструментов, задействованных в данной кампании, включая Gomir, Troll Stealer и установщик GoBear.

По словам специалистов, атаки на цепочку поставок, включающие использование троянов и зараженных установщиков, являются предпочтительным методом атак для северокорейских шпионских группировок. Выбор программного обеспечения, которое подвергается троянизации, производится тщательно, чтобы максимально повысить шансы на заражение целевых систем в Южной Корее.
 
Источник новости
www.securitylab.ru

Похожие темы