Kimsuky APT új Gomir Linux hátsó ajtót telepít Dél-Koreában

A Kimsuky APT csoport, egy észak-koreai államilag támogatott hacker szervezet, amely a Reconnaissance General Bureau (RGB) nevű felderítő irodához kapcsolódik, egy új Linux backdoor-t fejlesztett k, melynek a kutatók a Gomir nevet adták. Ezt a GoBear backdoorhoz kapcsolódó kártevőt trójai szoftver telepítőkön keresztül juttatják el, amelyek dél-koreai szervezeteket céloznak meg. A Gomir közvetlen C & C kommunikációval, perzisztencia-mechanizmusokkal rendelkezik, és támogatja a különböző parancsok végrehajtását. A férget a Symantec kutatói fedezték fel.

A Gomir funkcionalitása kiterjedt, és magában foglalja a root jogosultságok ellenőrzését, a rendszer könyvtáraiba való másolását a perzisztencia érdekében, a systemd szolgáltatások létrehozását, valamint a crontab parancsok konfigurálását a rendszer újraindításához. Képes tetszőleges héjparancsok végrehajtására, rendszerkonfigurációk jelentésére, fordított proxyk indítására és fájlok kiszivárogtatására. Ezek a képességek utalnak arra, hogy a programot kémkedésre és a célzott rendszereken belüli tartós hozzáférésre alakították ki.

Ez a kampány hangsúlyozza továbbá, hogy az APT-csoportok egyre gyakrabban támadják az ellátási láncokat. A Kimsuky stratégiailag választotta ki a trójai szoftvereket, maximalizálva a fertőzési potenciált a dél-koreai célpontok körében. Ez a megközelítés hasonló más nagy horderejű ellátási lánc támadásokhoz, ami azt mutatja, hogy az észak-koreai szereplők mennyire hatékonyak és mennyire előnyben részesítik ezt a módszert a kémtevékenységek során.

(forrás)