Быстрая покупка VPN для России через удобный Телеграмм-бот:
|
Правительственные сети Южной Кореи попробовали на себе силу трояна.
ИБ-компания Symantec выявила новый инструмент северокорейской группировки Kimsuki, который используется для атак на правительственные и коммерческие организации Южной Кореи.
Новое вредоносное ПО получило название Gomir и является Linux-версией известного трояна GoBear, ориентированного на Windows. Новая версия обладает всеми основными функциями своего предшественника, включая прямую связь с C2-сервером, механизмы сохранения в системе и поддержку выполнения широкого спектра команд.
После установки Gomir проверяет значение идентификатора группы, чтобы определить, работает ли он с привилегиями суперпользователя (root). Затем вредоносная программа копирует себя в каталог /var/log/syslogd для обеспечения сохранности в системе. Далее создаётся служба systemd под именем «syslogd», запускается сервис и удаляется исходный исполняемый файл, завершая начальный процесс.
Получи VPN-прокси для России через наш удобный Телеграмм-бот:
|
Gomir также пытается настроить команду crontab для выполнения при перезагрузке системы, создавая вспомогательный файл «cron.txt» в текущем рабочем каталоге. Если обновление списка crontab проходит успешно, вспомогательный файл удаляется.
Вредоносная программа поддерживает 17 операций, которые выполняются по командам, полученным через HTTP-запросы POST с C2-сервера. Операции включают приостановку связи с C2-сервером, выполнение произвольных shell-команд, сбор информации о системе (имя хоста, имя пользователя, CPU, RAM, сетевые интерфейсы), создание произвольных файлов на системе и их эксфильтрацию.
Исследователи Symantec отмечают, что набор команд для Gomir почти идентичен командам, поддерживаемым Windows-версией GoBear. Это указывает на использование одинакового подхода в атаках на различные операционные системы, что подтверждает высокий уровень подготовки и организации группировки Kimsuki.
Отчёт Symantec также содержит индикаторы компрометации для множества вредоносных инструментов, задействованных в данной кампании, включая Gomir, Troll Stealer и установщик GoBear.
По словам специалистов, атаки на цепочку поставок, включающие использование троянов и зараженных установщиков, являются предпочтительным методом атак для северокорейских шпионских группировок. Выбор программного обеспечения, которое подвергается троянизации, производится тщательно, чтобы максимально повысить шансы на заражение целевых систем в Южной Корее.
Кибербезопасность – это просто, если знаешь как.
Подпишись и узнай!
Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.
Почему стоит купить безопасный VPN?
-
Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.
-
Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.
-
Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.
-
Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.
