شرکت سیمانتک یک بکدور لینوکسی جدید به نام Gomir را کشف کرده است که توسط گروه جاسوسی Springtail کره شمالی (معروف به Kimsuky ) توسعه یافته است.
به نظر میرسد که Gomir (یا Linux.Gomir)، نسخه لینوکسی بکدور ویندوزی GoBear میباشد که در حملات اخیر Springtail استفاده شده است. Gomir با استفاده از نرم افزارهای تروجانیزه شده توزیع میشود. این بکدور از نظر ساختاری تقریباً مشابه GoBear میباشد.
GoBear برای اولین بار توسط شرکت امنیتی کره جنوبی S2W در اوایل فوریه 2024 در ارتباط با حملاتی که بدافزار Troll Stealer (معروف به TrollAgent) را ارائه میکرد، مستند گردید.
Kimsuky از نسخههای تروجانیزه شده نرم افزارهای مختلفی همچون TrustPKI ،NX_PRNMAN و Wizvera VeraPort توسط Troll Stealer و GoBear به منظور آلوده ساختن اهداف کره جنوبی استفاده کره است. GoBear با خانوادههای بدافزار Kimsuky مانند AppleSeed و AlphaSeed همپوشانی دارد.
کاوشهای تحلیلگران شرکت سیمانتک، منجر به کشف نسخه لینوکسی بکدور GoBear یعنی Gomir گردید. Gomir پس از نصب، مقدار ID گروه (Group ID) را بررسی میکند تا مشخص شود که آیا با سطح دسترسی root در ماشین لینوکس اجرا میشود یا خیر؛ و سپس خود را به منظور تداوم دسترسی در var/log/syslogd/ کپی میکند.
Gomir پس از آن، یک سرویس systemd به نام ” syslogd” ایجاد و دستوراتی را صادر میکند که سرویس را پیش از حذف فایل اجرایی اصلی و پایان دادن به فرآیند اولیه، راه اندازی و اجرا خواهد کرد.
Gomir از 17 عملیات زیر پشتیبانی میکند که هنگام دریافت فرمان مربوطه از C2 از طریق درخواستهای HTTP POST فعال میشوند:
- متوقف ساختن ارتباط با سرور فرماندهی و کنترل
- اجرای دستورات shell دلخواه
- گزارش دادن دایرکتوری جاری
- تغییر در دایرکتوری جاری
- بررسی endpointهای شبکه
- خاتمه دادن به فرآیند
- گزارش کردن نام مسیر اجرایی
- جمع آوری آمار از دایرکتوری
- جمع آوری گزارش جزئیات پیکربندی سیستم (نام میزبان، نام کاربری، CPU، RAM، اینترفیسهای شبکه).
- پیکربندی یک shell بازگشتی برای اجرای دستورات
- پیکربندی یک codepage برای تفسیر خروجی فرمان shell
- خاتمه دادن به ارتباط تا یک تاریخ مشخص
- نمایش پاسخ با ” Not implemented on Linux!”
- راه اندازی یک پروکسی معکوس برای اتصالات راه دور
- گزارش کردن endpointها برای پروکسی معکوس
- ایجاد فایلهای دلخواه در سیستم
- استخراج فایلها از سیستم
به گفته محققان سیمانتک، دستورات فوق تقریباً مشابه دستوراتی هستند که توسط بکدور GoBear ویندوز پشتیبانی میشوند.
محققان بر اساس تحلیل حملات اخیر، بر این باورند که حملات زنجیره تامین (نرم افزار، نصب کننده تروجانیزه، نصب کننده جعلی)، متد حمله ترجیحی هکرهای کره شمالی برای جاسوسی سایبری است.
IoCهای زیر برگرفته از گزارش سیمانتک است که بررسی آنها پیشنهاد میشود.
30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213 – Linux.Gomir
7bd723b5e4f7b3c645ac04e763dfc913060eaf6e136eecc4ee0653ad2056f3a0 – GoBear Dropper
d7f3ecd8939ae8b170b641448ff12ade2163baad05ca6595547f8794b5ad013b – Troll Stealer
36ea1b317b46c55ed01dd860131a7f6a216de71958520d7d558711e13693c9dc – Troll Stealer
8e45daace21f135b54c515dbd5cf6e0bd28ae2515b9d724ad2d01a4bf10f93bd – Troll Stealer
6c2a8e2bbe4ebf1fb6967a34211281959484032af1d620cbab390e89f739c339 – Troll Stealer
47d084e54d15d5d313f09f5b5fcdea0c9273dcddd9a564e154e222343f697822 – Troll Stealer
8a80b6bd452547650b3e61b2cc301d525de139a740aac9b0da2150ffac986be4 – Troll Stealer
380ec7396cc67cf1134f8e8cda906b67c70aa5c818273b1db758f0757b955d81 – Troll Stealer
ff945b3565f63cef7bb214a93c623688759ee2805a8c574f00237660b1c4d3fd – Troll Stealer
cc7a123d08a3558370a32427c8a5d15a4be98fb1b754349d1e0e48f0f4cb6bfc – Troll Stealer
8898b6b3e2b7551edcceffbef2557b99bdf4d99533411cc90390eeb278d11ac8 – Troll Stealer
ecab00f86a6c3adb5f4d5b16da56e16f8e742adfb82235c505d3976c06c74e20 – Troll Stealer
d05c50067bd88dae4389e96d7e88b589027f75427104fdb46f8608bbcf89edb4 – Troll Stealer
a98c017d1b9a18195411d22b44dbe65d5f4a9e181c81ea2168794950dc4cbd3c – Troll Stealer
831f27eb18caf672d43a5a80590df130b0d3d9e7d08e333b0f710b95f2cde0e0 – Troll Stealer
bc4c1c869a03045e0b594a258ec3801369b0dcabac193e90f0a684900e9a582d – Troll Stealer
5068ead78c226893df638a188fbe7222b99618b7889759e0725d85497f533e98 – Troll Stealer
