Hackers lançam backdoor para Linux
17 de Maio de 2024

O grupo hacker norte-coreano Kimsuky tem utilizado um novo malware Linux chamado Gomir, que é uma versão do backdoor GoBear entregue via instaladores de software trojanizados.

Kimsuky é um ator de ameaça patrocinado pelo estado, ligado à inteligência militar da Coreia do Norte, o Reconnaissance General Bureau (RGB).

No início de fevereiro de 2024, pesquisadores da empresa de inteligência de ameaças SW2 relataram sobre uma campanha na qual o Kimsuky usou versões trojanizadas de várias soluções de software, e.g.

TrustPKI e NX_PRNMAN da SGA Solutions, Wizvera VeraPort, para infectar alvos sul-coreanos com o Troll Stealer e o malware GoBear baseado em Windows.

Analistas da Symantec, uma empresa da Broadcom, investigando a mesma campanha que visava organizações governamentais sul-coreanas, descobriram uma nova ferramenta maliciosa que parece ser uma variante Linux do backdoor GoBear.

Gomir compartilha muitas semelhanças com GoBear e possui comunicação direta de comando e controle (C2), mecanismos de persistência e suporte para executar uma ampla gama de comandos.

Após a instalação, o malware verifica o valor do grupo ID para determinar se ele é executado com privilégios de root na máquina Linux, e então se copia para /var/log/syslogd para persistência.

Em seguida, cria um serviço systemd chamado ‘syslogd’ e emite comandos que iniciam o serviço antes de deletar o executável original e terminar o processo inicial.

O backdoor também tenta configurar um comando crontab para ser executado na reinicialização do sistema, criando um arquivo auxiliar (‘cron.txt’) no diretório de trabalho atual.

Se a lista crontab for atualizada com sucesso, o arquivo auxiliar é removido também.

Gomir suporta as seguintes 17 operações, acionadas quando o comando correspondente é recebido do C2 via solicitações HTTP POST.

Pausar comunicação com o servidor C&C.
Executar comandos shell arbitrários.
Relatar o diretório de trabalho atual.
Alterar o diretório de trabalho.
Sondar endpoints de rede.
Terminar seu próprio processo.
Relatar o caminho do executável.
Coletar estatísticas sobre árvores de diretórios.
Relatar detalhes de configuração do sistema (hostname, username, CPU, RAM, interfaces de rede).
Configurar um shell de fallback para executar comandos.
Configurar uma codepage para interpretar a saída de comandos shell.
Pausar comunicação até uma data e hora especificadas.
Responder com "Não implementado no Linux!"
Iniciar um proxy reverso para conexões remotas.
Relatar endpoints de controle para o proxy reverso.
Criar arquivos arbitrários no sistema.
Exfiltrar arquivos do sistema.


De acordo com os pesquisadores da Symantec, os comandos acima "são quase idênticos aos suportados pelo backdoor GoBear para Windows."

Com base na análise da campanha, os pesquisadores acreditam que ataques à cadeia de suprimentos (software, instaladores trojanizados, instaladores falsos) representam o método de ataque preferido para atores de espionagem norte-coreanos.

Os pesquisadores observam que a escolha do software a ser trojanizado "parece ter sido cuidadosamente escolhida para maximizar as chances de infectar seus alvos pretendidos baseados na Coreia do Sul."

O relatório da Symantec inclui um conjunto de indicadores de comprometimento para várias ferramentas maliciosas observadas na campanha, incluindo Gomir, Troll Stealer e o dropper GoBear.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...