朝鲜APT组织 Kimsuky 使用 Gomir 后门程序攻击 Linux 系统

APT 1周前 admin
38 0 0

大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号现在只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【…】,然后点击【设为星标】即可。

朝鲜APT组织 Kimsuky 使用 Gomir 后门程序攻击 Linux 系统

新一轮网络攻击活动

由朝鲜军事情报局(Reconnaissance General Bureau, RGB)资助的网络间谍组织 Kimsuky 再次发动了新一轮的网络攻击活动。他们开发了一种名为 Gomir 的 Linux 恶意软件,这是 GoBear 后门程序的变种,并通过木马化的软件安装程序进行传播。此次攻击再次引起了网络安全专家的高度警惕。


Kimsuky 近期的攻击活动


根据 SW2 威胁情报研究人员的揭示,三个月前,Kimsuky 利用被入侵的软件版本(如 TrustPKI、SGA Solutions 的 NX_PRNMAN 和 Wizvera VeraPort)对韩国目标进行攻击。这些木马化的安装程序旨在感染受害者的系统,植入 Troll Stealer 和 Windows 版本的 GoBear 后门程序。


Symantec 公司(博通公司旗下)分析人员在调查对韩国政府实体的攻击时,发现了 GoBear 的 Linux 版本。


Gomir 后门程序的特性


根据 Bleeping Computer 的调查,Gomir 具备与 GoBear 类似的功能,包括直接的指挥与控制(C2)通信、持久性机制以及支持多种命令。在安装过程中,Gomir 会通过检查组ID值来验证其是否拥有系统的root权限。随后,它会将自己复制到 /var/log/syslogd 目录,以确保持久性。


持久性和执行机制


为了确保持久性,Gomir 创建了一个名为“syslogd”的系统服务,并启动该服务,删除原始可执行文件并终止初始进程。此外,后门程序还尝试配置 crontab 命令,使其在系统重启时运行,通过在工作目录中创建一个辅助文件('cron.txt')。如果 crontab 列表成功更新,则删除该辅助文件。


支持的操作


Gomir 支持通过HTTP POST请求从C2服务器触发的17种操作,这些操作包括:


– 暂停与C2服务器的通信

– 执行任意shell命令

– 报告当前工作目录

– 更改工作目录

– 探测网络端点

– 终止自身进程

– 报告可执行文件路径

– 收集目录树统计信息

– 报告系统配置详情(主机名、用户名、CPU、RAM、网络接口)

– 配置备用shell以执行命令

– 配置用于解释shell命令输出的代码页

– 暂停通信直到指定日期时间

– 响应“Linux上未实现!”

– 启动用于远程连接的反向代理

– 报告反向代理的控制端点

– 在系统上创建任意文件

– 从系统中窃取文件


Symantec 指出,这些命令几乎与 GoBear Windows 后门程序支持的命令完全相同。


供应链攻击策略


研究人员认为,供应链攻击是朝鲜间谍组织如 Kimsuky 的首选策略,通过木马化的软件安装程序最大化对目标的感染几率。


威胁指标


Symantec 的报告列出了多个恶意工具(包括 Gomir、Troll Stealer 和 GoBear dropper)的威胁指标,这些指标帮助网络安全专业人员检测和缓解这些工具带来的威胁。


Gomir 的出现只是朝鲜攻击中的冰山一角。除了 Kimsuky 之外,还有更多危险的黑客组织在活跃。针对供应链攻击和恶意软件的利用,组织机构需要保持高度警惕,以应对这些网络攻击活动。


在美国,司法部(DOJ)揭示了在朝鲜身份盗窃阴谋中被捕的人员。这一行动据称攻击了美国公司。


*关注我们的微信公众账号,了解更多关于网络安全和国际网络攻击动态的最新资讯。*

欢迎喜欢文章的朋友点赞、转发、赞赏,你的每一次鼓励,都是我继续前进的动力。




原文始发于微信公众号(紫队安全研究):朝鲜APT组织 Kimsuky 使用 Gomir 后门程序攻击 Linux 系统

版权声明:admin 发表于 2024年6月7日 下午12:01。
转载请注明:朝鲜APT组织 Kimsuky 使用 Gomir 后门程序攻击 Linux 系统 | CTF导航

相关文章