Sommario
Il gruppo di hacker nordcoreano Kimsuky ha iniziato a distribuire un nuovo malware Linux chiamato Gomir, una variante del backdoor GoBear, tramite installer di software trojanizzati. Questo attacco è mirato a organizzazioni governative sudcoreane, utilizzando software apparentemente legittimi per infettare i sistemi target.
Dettagli della backdoor Gomir
Gomir condivide molte somiglianze con il backdoor GoBear, offrendo comunicazione diretta con il server di comando e controllo (C2), meccanismi di persistenza e supporto per una vasta gamma di comandi. Dopo l’installazione, il malware verifica il valore del gruppo ID per determinare se viene eseguito con privilegi di root. Si copia poi in /var/log/syslogd per garantire la persistenza.
Meccanismi di persistenza
Per mantenere la sua esecuzione, Gomir crea un servizio systemd chiamato “syslogd” e configura un comando crontab per l’esecuzione al riavvio del sistema. Queste azioni garantiscono che il malware continui a funzionare anche dopo il riavvio del sistema.
Funzionalità di Gomir
Gomir supporta 17 operazioni diverse, attivate quando il comando corrispondente viene ricevuto dal server C2 tramite richieste HTTP POST. Queste operazioni includono:
- Esecuzione di comandi shell arbitrari.
- Raccolta di informazioni sul sistema, come hostname, nome utente, CPU, RAM e interfacce di rete.
- Creazione di file arbitrari sul sistema.
- Esfiltrazione di file dal sistema.
- Configurazione di un proxy inverso per connessioni remote.
Metodo di attacco
Gli attacchi di Kimsuky sfruttano versioni trojanizzate di vari software, come TrustPKI e NX_PRNMAN di SGA Solutions, e Wizvera VeraPort, per infettare i target con Troll Stealer e il malware GoBear per Windows. Symantec ha rilevato che gli attacchi di Kimsuky sembrano preferire metodi di supply-chain, utilizzando installer compromessi per massimizzare le possibilità di infezione.
Obiettivi e indicatori di compromissione
Gli attacchi sono stati progettati con cura per colpire specificamente obiettivi sudcoreani, scegliendo software comunemente utilizzati in Corea del Sud. Il rapporto di Symantec fornisce un elenco di indicatori di compromissione per diversi strumenti malevoli osservati nella campagna, inclusi Gomir, Troll Stealer e il dropper GoBear.
La scoperta di Gomir evidenzia l’evoluzione continua delle tecniche di attacco del gruppo Kimsuky, che continua a rappresentare una minaccia significativa per la sicurezza informatica, in particolare per le organizzazioni governative. La comunità della sicurezza deve rimanere vigile e adottare misure preventive per proteggere i propri sistemi da questi attacchi sofisticati.
