Информация

Gomir: новый инструмент хакеров из Северной Кореи для атак на Linux

Быстрая покупка VPN для России через удобный Телеграмм-бот:

Правительственные сети Южной Кореи попробовали на себе силу трояна.

ИБ-компания Symantec выявила новый инструмент северокорейской группировки Kimsuki, который используется для атак на правительственные и коммерческие организации Южной Кореи.

Новое вредоносное ПО получило название Gomir и является Linux-версией известного трояна GoBear, ориентированного на Windows. Новая версия обладает всеми основными функциями своего предшественника, включая прямую связь с C2-сервером, механизмы сохранения в системе и поддержку выполнения широкого спектра команд.

После установки Gomir проверяет значение идентификатора группы, чтобы определить, работает ли он с привилегиями суперпользователя (root). Затем вредоносная программа копирует себя в каталог /var/log/syslogd для обеспечения сохранности в системе. Далее создаётся служба systemd под именем «syslogd», запускается сервис и удаляется исходный исполняемый файл, завершая начальный процесс.

Получи VPN-прокси для России через наш удобный Телеграмм-бот:

Gomir также пытается настроить команду crontab для выполнения при перезагрузке системы, создавая вспомогательный файл «cron.txt» в текущем рабочем каталоге. Если обновление списка crontab проходит успешно, вспомогательный файл удаляется.

Вредоносная программа поддерживает 17 операций, которые выполняются по командам, полученным через HTTP-запросы POST с C2-сервера. Операции включают приостановку связи с C2-сервером, выполнение произвольных shell-команд, сбор информации о системе (имя хоста, имя пользователя, CPU, RAM, сетевые интерфейсы), создание произвольных файлов на системе и их эксфильтрацию.

Исследователи Symantec отмечают, что набор команд для Gomir почти идентичен командам, поддерживаемым Windows-версией GoBear. Это указывает на использование одинакового подхода в атаках на различные операционные системы, что подтверждает высокий уровень подготовки и организации группировки Kimsuki.

Отчёт Symantec также содержит индикаторы компрометации для множества вредоносных инструментов, задействованных в данной кампании, включая Gomir, Troll Stealer и установщик GoBear.

  Биологи создали глобальное древо жизни, используя 1,8 млрд букв генетического кода

По словам специалистов, атаки на цепочку поставок, включающие использование троянов и зараженных установщиков, являются предпочтительным методом атак для северокорейских шпионских группировок. Выбор программного обеспечения, которое подвергается троянизации, производится тщательно, чтобы максимально повысить шансы на заражение целевых систем в Южной Корее.

Кибербезопасность – это просто, если знаешь как.

Подпишись и узнай!

Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.

Почему стоит купить безопасный VPN?

  • Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.

  • Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.

  • Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.

  • Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.

Оставить ответ