大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
新一轮网络攻击活动
由朝鲜军事情报局(Reconnaissance General Bureau, RGB)资助的网络间谍组织 Kimsuky 再次发动了新一轮的网络攻击活动。他们开发了一种名为 Gomir 的 Linux 恶意软件,这是 GoBear 后门程序的变种,并通过木马化的软件安装程序进行传播。此次攻击再次引起了网络安全专家的高度警惕。
Kimsuky 近期的攻击活动
根据 SW2 威胁情报研究人员的揭示,三个月前,Kimsuky 利用被入侵的软件版本(如 TrustPKI、SGA Solutions 的 NX_PRNMAN 和 Wizvera VeraPort)对韩国目标进行攻击。这些木马化的安装程序旨在感染受害者的系统,植入 Troll Stealer 和 Windows 版本的 GoBear 后门程序。
Symantec 公司(博通公司旗下)分析人员在调查对韩国政府实体的攻击时,发现了 GoBear 的 Linux 版本。
Gomir 后门程序的特性
根据 Bleeping Computer 的调查,Gomir 具备与 GoBear 类似的功能,包括直接的指挥与控制(C2)通信、持久性机制以及支持多种命令。在安装过程中,Gomir 会通过检查组ID值来验证其是否拥有系统的root权限。随后,它会将自己复制到 /var/log/syslogd 目录,以确保持久性。
持久性和执行机制
为了确保持久性,Gomir 创建了一个名为“syslogd”的系统服务,并启动该服务,删除原始可执行文件并终止初始进程。此外,后门程序还尝试配置 crontab 命令,使其在系统重启时运行,通过在工作目录中创建一个辅助文件('cron.txt')。如果 crontab 列表成功更新,则删除该辅助文件。
支持的操作
Gomir 支持通过HTTP POST请求从C2服务器触发的17种操作,这些操作包括:
– 暂停与C2服务器的通信
– 执行任意shell命令
– 报告当前工作目录
– 更改工作目录
– 探测网络端点
– 终止自身进程
– 报告可执行文件路径
– 收集目录树统计信息
– 报告系统配置详情(主机名、用户名、CPU、RAM、网络接口)
– 配置备用shell以执行命令
– 配置用于解释shell命令输出的代码页
– 暂停通信直到指定日期时间
– 响应“Linux上未实现!”
– 启动用于远程连接的反向代理
– 报告反向代理的控制端点
– 在系统上创建任意文件
– 从系统中窃取文件
Symantec 指出,这些命令几乎与 GoBear Windows 后门程序支持的命令完全相同。
供应链攻击策略
研究人员认为,供应链攻击是朝鲜间谍组织如 Kimsuky 的首选策略,通过木马化的软件安装程序最大化对目标的感染几率。
威胁指标
Symantec 的报告列出了多个恶意工具(包括 Gomir、Troll Stealer 和 GoBear dropper)的威胁指标,这些指标帮助网络安全专业人员检测和缓解这些工具带来的威胁。
Gomir 的出现只是朝鲜攻击中的冰山一角。除了 Kimsuky 之外,还有更多危险的黑客组织在活跃。针对供应链攻击和恶意软件的利用,组织机构需要保持高度警惕,以应对这些网络攻击活动。
在美国,司法部(DOJ)揭示了在朝鲜身份盗窃阴谋中被捕的人员。这一行动据称攻击了美国公司。
—
*关注我们的微信公众账号,了解更多关于网络安全和国际网络攻击动态的最新资讯。*
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT组织 Kimsuky 使用 Gomir 后门程序攻击 Linux 系统
