朝鲜黑客组织Kimsuki一直在使用一种名为Gomir的新型Linux恶意软件,它是GoBear后门软件的一个版本,通过木马化的软件安装程序提供。
金苏基是一名与朝鲜军事情报机构侦察总局(Reconnaissance General Bureau,简称RGB)有关的国家支持的威胁行动者。
在2024年2月初,SW2威胁情报公司的研究人员报告了Kimsuky使用各种软件解决方案的木马版本,例如来自SGA solutions的TrustPKI和NX_PRNMAN, Wizvera VeraPort,用Troll Stealer和基于go的Windows恶意软件GoBear感染韩国目标的活动。
博通(Broadcom)旗下公司赛门铁克(Symantec)的分析师在调查针对韩国政府机构的同一场攻击活动时,发现了一种新的恶意工具,似乎是GoBear后门的Linux版本。
戈米尔的后门
Gomir与GoBear有许多相似之处,并具有直接的命令和控制(C2)通信、持久性机制和对执行广泛命令的支持。
安装后,恶意软件会检查组ID值,以确定它是否在Linux机器上以root权限运行,然后将自己复制到/var/log/syslogd以保持持久性。
接下来,它创建一个名为“syslogd”的systemd服务,并发出命令,在删除原始可执行文件和终止初始进程之前启动该服务。
后门程序还尝试通过在当前工作目录中创建一个辅助文件(’ cron.txt ')来配置crontab命令,以便在系统重启时运行。如果crontab列表更新成功,那么helper文件也会被删除。
Gomir支持以下17种操作,当通过HTTP POST请求从C2接收到相应的命令时触发。
-
暂停与命令控制服务器的通信。
-
执行任意shell命令。
-
报告当前工作目录。
-
更改工作目录。
-
探测网络端点。
-
终止自己的进程。
-
报告可执行路径名。
-
收集目录树的统计信息。
-
报告系统配置细节(主机名、用户名、CPU、RAM、网络接口)。
-
配置执行命令的回退shell。
-
配置用于解释shell命令输出的代码页。
-
暂停通信直到指定的日期时间。
-
回复“未在Linux上实现!”
-
为远程连接启动反向代理。
-
报告反向代理的控制端点。
-
在系统上创建任意文件。
-
从系统中窃取文件。
根据赛门铁克研究人员的说法,上述命令“与GoBear Windows后门所支持的命令几乎相同”。
根据对该活动的分析,研究人员认为,供应链攻击(软件、木马安装程序、假安装程序)是朝鲜间谍行为者首选的攻击方法。
研究人员指出,要被木马化的软件的选择“似乎是经过精心挑选的,以最大限度地提高感染韩国目标的机会”。
赛门铁克的报告包含了一系列针对攻击活动中观察到的多种恶意工具的攻击指标,包括Gomir、Troll Stealer和GoBear dropper。
网安&黑客学习资料包
基于最新的kali讲解,循序渐进地对黑客攻防剖析。适合不同层次的粉丝。我希望能为大家提供切实的帮助,讲解通俗易懂,风趣幽默,风格清新活泼,学起来轻松自如,酣畅淋漓!
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
因篇幅有限,仅展示部分资料,需要可扫描下方卡片获取~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
