Gomir: новый инструмент хакеров из Северной Кореи для атак на Linux

ИБ-компания Symantec выявила новый инструмент северокорейской группировки Kimsuki, который используется для атак на правительственные и коммерческие организации Южной Кореи.

Новое вредоносное ПО получило название Gomir и является Linux-версией известного трояна GoBear, ориентированного на Windows. Новая версия обладает всеми основными функциями своего предшественника, включая прямую связь с C2-сервером, механизмы сохранения в системе и поддержку выполнения широкого спектра команд.

После установки Gomir проверяет значение идентификатора группы, чтобы определить, работает ли он с привилегиями суперпользователя (root). Затем вредоносная программа копирует себя в каталог /var/log/syslogd для обеспечения сохранности в системе. Далее создаётся служба systemd под именем «syslogd», запускается сервис и удаляется исходный исполняемый файл, завершая начальный процесс.

Gomir также пытается настроить команду crontab для выполнения при перезагрузке системы, создавая вспомогательный файл «cron.txt» в текущем рабочем каталоге. Если обновление списка crontab проходит успешно, вспомогательный файл удаляется.

Вредоносная программа поддерживает 17 операций, которые выполняются по командам, полученным через HTTP-запросы POST с C2-сервера. Операции включают приостановку связи с C2-сервером, выполнение произвольных shell-команд, сбор информации о системе (имя хоста, имя пользователя, CPU, RAM, сетевые интерфейсы), создание произвольных файлов на системе и их эксфильтрацию.

Исследователи Symantec отмечают, что набор команд для Gomir почти идентичен командам, поддерживаемым Windows-версией GoBear. Это указывает на использование одинакового подхода в атаках на различные операционные системы, что подтверждает высокий уровень подготовки и организации группировки Kimsuki.

Отчёт Symantec также содержит индикаторы компрометации для множества вредоносных инструментов, задействованных в данной кампании, включая Gomir, Troll Stealer и установщик GoBear.

По словам специалистов, атаки на цепочку поставок, включающие использование троянов и зараженных установщиков, являются предпочтительным методом атак для северокорейских шпионских группировок. Выбор программного обеспечения, которое подвергается троянизации, производится тщательно, чтобы максимально повысить шансы на заражение целевых систем в Южной Корее.