大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。
朝鲜支持的网络间谍组织Kimsuky,与朝鲜军事情报机构侦察总局(RGB)有关联,最近揭露了一种新的Linux恶意软件——Gomir。这种恶意软件是GoBear后门的一个变种,通过特洛伊化的软件安装程序进行分发。这些国家支持的黑客的威胁行为引起了专家们对系统攻击范围的关注。
Kimsuky近期活动
VPN攻击
SW2威胁情报研究人员揭示了一场三个月前的活动,其中Kimsuky利用了被篡改的软件版本,如TrustPKI、SGA Solutions的NX_PRNMAN和Wizvera VeraPort。这些特洛伊化的安装程序旨在感染韩国目标,植入Troll Stealer和针对Windows系统的GoBear后门。
赛门铁克的发现
赛门铁克(Broadcom公司)的分析师在调查针对韩国政府实体的攻击时也发现了GoBear的Linux版本。
Gomir后门的背后
根据Bleeping Computer的调查,Gomir具有与GoBear类似的功能,包括直接命令与控制(C2)通信、持久性机制和支持多种命令。
安装与权限检查:Gomir安装后会检查其是否具有Linux系统的root权限,并通过验证组ID值来确定。随后,它将自身复制到`/var/log/syslogd`目录以实现持久化。
持久性和执行:为了确保持久性,Gomir创建一个名为`syslogd`的系统服务并启动该服务,同时删除原始可执行文件并终止初始进程。此外,Gomir尝试配置一个crontab命令,以便在系统重启时运行,并通过创建一个辅助文件(`cron.txt`)来实现这一点。如果crontab列表更新成功,辅助文件将被删除。
支持的操作
Gomir支持17种操作,这些操作由C2服务器通过HTTP POST请求触发。这些操作包括:
暂停与C2服务器的通信
执行任意shell命令
报告当前工作目录
更改工作目录
探测网络端点
终止自身进程
报告可执行文件路径名
收集目录树统计信息
报告系统配置详情(主机名、用户名、CPU、RAM、网络接口)
配置回退shell以执行命令
配置代码页以解释shell命令输出
暂停通信直到指定日期时间
响应“在Linux上未实现!”
启动反向代理以进行远程连接
报告反向代理的控制端点
在系统上创建任意文件
从系统中窃取文件
据赛门铁克称,这些命令几乎与GoBear Windows后门支持的命令相同。
供应链攻击策略
研究人员认为,像Kimsuky这样的朝鲜间谍组织更喜欢使用特洛伊化的软件安装程序进行供应链攻击。精心选择要被篡改的软件,最大限度地提高了感染预定韩国目标的机会。
入侵指标
赛门铁克关于这次活动的报告包括一组入侵指标,涉及多个观察到的恶意工具,包括Gomir、Troll Stealer和GoBear投递器。这些指标帮助网络安全专业人员检测和缓解这些工具带来的威胁。
结语
Gomir的出现只是众多与朝鲜有关的攻击之一。除了Kimsuky之外,还有更多危险的黑客存在。随着供应链攻击和充满恶意软件的漏洞利用成为焦点,组织需要警惕这些活动。
在美国,司法部(DOJ)公布了逮捕涉嫌参与北韩身份盗窃阴谋的人。据报道,这一行动攻击了美国企业。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友加入沟通交流。
欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜APT Kimsuky黑客使用Gomir后门攻击Linux系统
