Kuzey Koreli hacker grubu Kimsuki, Trojanize yazılım yükleyicileri aracılığıyla sunulan Gobear Backdoor'un bir sürümü olan Gomir adlı yeni bir Linux kötü amaçlı yazılım kullanıyor.
Kimuky, Kuzey Kore’nin askeri istihbaratı, Keşif Genel Bürosu (RGB) ile bağlantılı devlet destekli bir tehdit oyuncusudur.
Şubat 2024'ün başlarında, SW2 Tehdit İstihbarat Şirketi'ndeki araştırmacılar, Kimuky'nin çeşitli yazılım çözümlerinin, ör. SGA Solutions, Wizvera Veraport'tan Trustpki ve NX_PRNMAN, Güney Kore hedeflerini trol stealer ve Go tabanlı Windows kötü amaçlı yazılım Gobear ile enfekte etmek için.
Bir Broadcom şirketi olan Symantec'teki analistler, Güney Kore hükümet kuruluşlarını hedefleyen kampanyaya bakarak, Gobear arka kapısının Linux varyantı gibi görünen yeni bir kötü niyetli araç keşfetti.
Gomir, Gobear ile birçok benzerliği paylaşıyor ve doğrudan komut ve kontrol (C2) iletişimi, kalıcılık mekanizmaları ve çok çeşitli komutların yürütülmesi desteğine sahiptir.
Kurulum üzerine, kötü amaçlı yazılım, Linux makinesinde kök ayrıcalıklarıyla çalışıp çalışmadığını belirlemek için grup kimlik değerini kontrol eder ve ardından kalıcılık için kendisini/var/log/syslogd olarak kopyalar.
Ardından, "Syslogd" adlı bir Systemd hizmeti oluşturur ve orijinal yürütülebilir dosyayı silmeden ve ilk işlemi sonlandırmadan önce hizmeti başlatan komutlar sorunu oluşturur.
Arka kapı ayrıca, geçerli çalışma dizininde bir yardımcı dosya (‘cron.txt’) oluşturarak sistem yeniden başlatılmasında çalışacak bir CRONTAB komutunu yapılandırmaya çalışır. CRONTAB listesi başarıyla güncellenirse, yardımcı dosyası da kaldırılır.
Gomir, ilgili komut C2'den HTTP Post istekleri aracılığıyla alındığında tetiklenen aşağıdaki 17 işlemi destekler.
Symantec araştırmacılarına göre, yukarıdaki komutlar "Gobear Windows Backdoor tarafından desteklenenlerle neredeyse aynıdır."
Kampanyanın analizine dayanarak, araştırmacılar tedarik zinciri saldırılarının (yazılım, trojanize kurulumcular, sahte montajcılar) Kuzey Kore casusluk aktörleri için tercih edilen saldırı yöntemini temsil ettiğine inanıyorlar.
Araştırmacılar, yazılımın truva atılacak seçiminin "amaçlanan Güney Kore merkezli hedeflerini enfekte etme şansını en üst düzeye çıkarmak için dikkatle seçildiğini" belirtiyor.
Symantec'in raporu, Gomir, Troll Stealer ve Gobear Droper dahil olmak üzere kampanyada gözlenen çok sayıda kötü niyetli araç için bir dizi uzlaşma göstergesini içeriyor.
NSA, zayıf DMARC e -posta politikalarından yararlanan Kuzey Koreli bilgisayar korsanları konusunda uyarıyor
İranlı korsanlar, arka kapı kötü amaçlı yazılımları zorlamak için gazeteci olarak poz verir
DPRK Hacking Grupları Güney Kore Savunma Müteahhitlerini İhlal
Hackerlar, Guptiminer kötü amaçlı yazılımları bırakmak için antivirüs güncellemelerini ele geçiriyor
Rus Sandworm Hackers, su hizmetlerinde hacktivist olarak poz veriyor
Kaynak: Bleeping Computer