Gomir, Linux backdoor

AUTOR ·

Gomir je novi backdoor zlonamjerni softver otkriven početkom 2024. godine koji cilja na Linux sisteme. Ovaj zlonamjerni softver je dizajniran da dobije neovlašteni pristup Linux sistemu iskorišćavanjem ranjivosti ili prevarom korisnika da preuzmu i izvrše backdoor. Sigurnosni istraživači kompanije Symantec su identifikovali ovaj zlonamjerni softver kako cilja na vladine i komercijalne organizacije u Južnoj Koreji i smatra se nasljednikom GoBear backdoor zlonamjernog softvera.

Gomir

Gomir, Linux backdoor; Source: Bing Image Creator

GOBEAR

GoBear je zlonamjerni backdoor koji je prvi put otkriven početkom 2023. godine, prvenstveno je usmjeren na Windows sisteme. Vjeruje se da je backdoor djelo Kimsuky grupe, napredne trajne prijetnje (eng. Advanced persistent threat – APT) poznate po svojim dugoročnim kampanjama usmjerenim na različite industrije i organizacije u Južnoj Koreji. Ovaj backdoor djeli neke sličnosti sa drugim poznatim porodicama zlonamjernog softvera kao što su TrollStealer i AppleJeus, ali se izdvaja po svojim jedinstvenim karakteristikama i metodama distribucije. Identifikovan je tokom istrage bezbjednosne firme S2W vezane za kampanju napada na jednu južnokorejsku organizaciju.

 

Funkcionalnost

GoBear funkcioniše kao trojanac za daljinski pristup (eng. remote access trojan – RAT), omogućavajući napadačima da dobiju neovlašteni pristup kompromitovanim sistemima i daljinski izvršavaju komande. Zlonamjerni softver je dizajniran da bude postojan, što znači da ostaje aktivan na sistemu čak i nakon ponovnog pokretanja ili odjave korisnika.

Jednom instaliran, GoBear uspostavlja stalno prisustvo kreiranjem sistemske usluge i podešavanjem cron zadatka koji ga automatski pokreće nakon ponovnog pokretanja. Backdoor zatim čeka komande sa svog servera za komandu i kontrolu (C2) da izvrši različite zadatke kao što su manipulacija datotekama, upravljanje procesima, mrežna komunikacija ili eskalacija privilegija.

 

Distribucija

GoBear je prvobitno distribuiran preko trojanizovanog softverskog paketa prerušenog kao ažuriranje za popularnu južnokorejsku aplikaciju koja se odnosi na izgradnju. Napadači su koristili taktiku društvenog inženjeringa da prevare korisnike da preuzmu zlonamjerno ažuriranje sa kompromitovane internet stranice ili priloga elektronske pošte, što je na kraju dovelo do instaliranja GoBear zlonamjernog softvera na njihove sisteme.

 

GOMIR

Kimsuky grupa je primijećena da početkom 2024. godine koristi novu verziju GoBear backdoor zlonamjernog softvera koja je evoluirala u Gomir backdoor. Gomir zlonamjerni softver je skoro identičan GoBear zlonamjernom softver u pogledu strukture kôda i funkcionalnosti. Međutim, sve funkcije zavisne od operativnog sistema su ili izostavljene ili ponovo implementirane u Gomir koji je namijenjen za Linux operativne sisteme. Ovaj backdoor podržava do 17 komandi koje omogućavaju njegovim operaterima da izvršavaju različite zadatke kao što su operacije sa datotekama, pokretanje obrnutog posrednika (eng. reverse proxy), privremeno zaustavljanje komunikacije komandi i kontrole (C2), izvršavanje komandi u komandnom okruženju i završavanje sopstvenog procesa.

 

Funkcionalnost

Gomir backdoor pokazuje različite funkcionalnosti nakon izvršenja, a njegov primarni cilj je da dobije neovlašteni pristup Linux sistemu i održi postojanost kreiranjem systemd usluge, kopiranjem u /var/log/syslogd i pokušajem da konfiguriše crontab komandu za pokretanje pri ponovnom pokretanju sistema.

Nakon što se izvrši, Gomir provjerava vrijednost ID grupe trenutnog procesa da bi utvrdio da li se pokreće kao grupa 0 (povezan sa privilegijama superkorisnika ili administratora). Ako je ovaj uslov ispunjen, zlonamjerni softver nastavlja sa svojim aktivnostima. Kopira se u /var/log/syslogd i kreira sistemski servis pod nazivom “syslogd”, koji zatim pokreće. Kada se originalna izvršna datoteka obriše i početni proces prekine, Gomir uspostavlja postojanost na zaraženoj Linux mašini.

Jedna od najznačajnijih karakteristika Gomir zlonamjernog softvera je njegova sposobnost da komunicira sa svojim serverom za komandu i kontrolu (C2) putem HTTP POST zahteva na http://216.189.159[.]34/mir/index.php. Ova komunikacija omogućava napadačima da izdaju komande i primaju podatke od zaraženog sistema, omogućavajući im da obavljaju različite zadatke kao što su operacije sa datotekama, pokretanje obrnutog posrednika, privremeno zaustavljanje C2 komunikacija, izvršavanje komandi komandnog okruženja iz aplikacija  i prekidanje sopstvenog procesa. Zlonamjerni softver podržava do 17 različitih komandi koje se mogu izvršiti na inficiranom Linux uređaju. Ove komande uključuju:

  1. Pauziranje komunikacije sa C2 serverom,
  2. Izvršavanje proizvoljnih komandi komande ljuske,
  3. Prijava trenutnog radnog direktorijuma,
  4. Promjena radnog direktorijuma,
  5. Ispitivanje krajnjih tačaka mreže,
  6. Gašenje sopstvenog procesa,
  7. Prijava imena izvršne putanje,
  8. Prikupljanje statistike o stablima direktorijuma,
  9. Izvještaj o detaljima konfiguracije sistema (ime hosta, korisničko ime, CPU, RAM, mrežni interfejsi),
  10. Konfiguracija rezervne ljuske za izvršavanje komandi,
  11. Konfiguracija kodne stranice za tumačenje izlaza komande ljuske,
  12. Pauziranje komunikacije do određenog datuma i vremena,
  13. Odgovor sa „Nije implementirano na Linux-u!“,
  14. Pokretanje obrnutog posrednika za udaljene veze
  15. Izvještaj kontrolnih krajnjih tačaka za obrnutog posrednika,
  16. Pravljenje proizvoljne datoteke u sistemu,
  17. Eksfiltriranje datoteka iz sistema.

 

Distribucija

Istraživanje pokazuje da su paketi za instalaciju softvera i ažuriranja sada među najomiljenijim vektorima infekcije za Kimsuky grupu. Varijacije ove taktike uključuju napade na lanac nabavke softvera, trojanizovane programe za instalaciju softvera i lažne instalacije softvera.

 

KIMSUKY APT

Kimsuky, takođe poznat kao APT43, je veoma sofisticirana grupa za sajber špijunažu koja aktivno djeluje od kada je prvi put primijećena 2013. godine. Ovaj sjevernokorejski zlonamjerni akter stekao je ozloglašenost u zajednici sajber bezbednosti zbog svoje uporne i evoluirajuće taktike, prvenstveno fokusirane na skupljanje obavještajnih podatka. Primarna meta Kimsuky grupe bila je Južna Koreja, međutim, grupa je takođe proširio svoj domet na Japan, Vijetnam, Bliski Istok, pa čak i Sjedinjene Države i Evropu.

Grupa je poznata po svom pedantnom pristupu u vođenju kampanja sajber špijunaže. Način djelovanja Kimsuky grupe uključuje korištenje ranjivosti nultog dana i zlonamjernog softvera za dobijanje neovlaštenog pristupa osjetljivim informacijama. Jedna od najčešćih taktika koju koristi ovaj zlonamjerni akter je prikrivanje prečica korištenjem tehnike stapanja sa okolinom (eng. Living off the Land – LotL) ili LNK datoteka u benigne dokumente ili datoteke. Čineći to, napadači prevare korisnike da izvrše ove zlonamjerne datoteke, koje zauzvrat skrivaju PowerShell komande ili čak pune binarne datoteke za krajnjeg korisnika koji ih ne otkrije na prvi pogled.

Napadi Kimsuky grupe su pomno planirani i izvedeni sa preciznošću. Grupa je pokazala napredno razumijevanje svojih meta i njihovih sistema, omogućavajući joj da zaobiđe bezbjednosne mjere i ostane neotkrivena tokom dužeg perioda. Ovaj nivo sofisticiranosti je obilježje grupa za sajber špijunažu koje sponzoriše država kao što je Kimsuky.

Fokus grupe na prikupljanje obavještajnih podataka doveo ju je do ciljanja vladinih institucija, istraživačkih centara, akademskih institucija i kritične infrastrukture. Infiltriranjem u ove organizacije, Kimsuky grupa može da dobije pristup osjetljivim informacijama koje bi mogle da pruže vrijedan uvid u strateško planiranje, politički razvoj ili tehnološki napredak.

Uprkos tome što funkcioniše nezavisno, vjeruje se da je Kimsuky grupa dio većeg ekosistema sjevernokorejskih grupa za naprednu trajnu prijetnju (APT). Zajedničke taktike, ciljevi i vjerovatno državno sponzorstvo sugerišu da ove grupe mogu biti slabo povezane ili barem usklađene u svojim ciljevima.

Sličnosti između aktivnosti Kimsuky grupe i aktivnosti drugih sjevernokorejskih APT grupa kao što su Kimsuke, Lazarus Group i Blindside navele su neke stručnjake za sajber bezbjednost da spekulišu da bi ove grupe mogle da sarađuju ili djele resurse. Međutim, ne postoje konkretni dokazi koji podržavaju ovu teoriju.

 

ZAKLJUČAK

Gomir je sofisticirani backdoor zlonamjerni softver namijenjen za infekciju Linux operativnih sistema koji nudi različite funkcionalnosti nakon izvršenja. Njegovi primarni ciljevi uključuju dobijanje neovlaštenog pristupa Linux uređaju, održavanje postojanosti kreiranjem sistemskih usluga i crontab komandi i komunikaciju sa C2 serverom radi daljinskog izvršavanja komandi.

Zlonamjerni softver podržava do 17 različitih komandi, omogućavajući napadačima da izvršavaju zadatke kao što su operacije sa datotekama, manipulacija mrežom, upravljanje korisnicima, šifrovanje/dešifrovanje i još mnogo toga. Metode backdoor distribucije, koje uključuju pakete za instalaciju softvera i ažuriranja, pokazuju važnost zaštite ovih vektora od potencijalnih prijetnji. Organizacije moraju da ostanu budne i da budu informisane o zlonamjernim akterima kao što je Kimsuky grupa i da u skladu sa tim prilagode svoje bezbjednosne strategije.

 

ZAŠTITA

Evo nekoliko preporučenih koraka za zaštitu od Gomir backdoor zlonamjernog softvera:

  1. Održavati Linux sisteme ažuriranim sa najnovijim bezbjednosnim ispravkama i ažuriranjima softvera. Ovo može da spriječi napadače da iskoriste poznate ranjivosti u zastarelom softveru,
  2. Koristiti jake lozinke za sve korisničke naloge i osigurati se da se redovno mijenjaju. Pored toga, razmisliti o primjeni autentifikacije u više koraka (eng. multi-factor authenticationMFA) da bi se dodao dodatni sloj zaštite,
  3. Implementirati robusnu politiku kontrole pristupa, kao što je princip najmanjih privilegija, koji ograničava pristup korisnika samo na ono što je neophodno za njihove radne funkcije. Ovo može da spriječi napadače da dobiju neovlašteni pristup osjetljivim sistemima i podacima,
  4. Koristiti antivirusni softver posebno dizajniran za Linux sisteme da bi se otkrile i blokirale poznate prijetnje zlonamjernog softvera , uključujući Gomir,
  5. Primijeniti segmentaciju mreže da bi se ograničilo širenje zlonamjernog softvera u slučaju da dođe do napada. Ovo može pomoći da se umanji potencijalna šteta i spriječi njeno širenje na druge dijelove mreže,
  6. Redovno nadgledati Linux sisteme radi neuobičajenih aktivnosti ili ponašanja koje bi moglo ukazati na kompromitovanje, kao što su neovlašteni pokušaji prijavljivanja ili neočekivane modifikacije datoteke. Koristiti alate kao što su sistemi za otkrivanje upada (eng. intrusion detection systems – IDS) i softver za analizu dnevnika kako bi se ove prijetnje identifikovale u realnom vremenu,
  7. Obrazovati korisnike o rizicima phishing napada i drugim taktikama društvenog inženjeringa koje koriste napadači da bi dobili pristup sistemima. Ovo može pomoći korisnicima da spriječe da postanu žrtve ciljanih napada, kao što su oni koji koriste lažne instalacije za aplikacije kao što je Gomir.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.