{"id":6657,"date":"2024-05-24T22:33:13","date_gmt":"2024-05-24T20:33:13","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6657"},"modified":"2024-05-24T22:33:13","modified_gmt":"2024-05-24T20:33:13","slug":"gomir-linux-backdoor","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/","title":{"rendered":"Gomir, Linux backdoor"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Gomir<\/em> je novi <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>zlonamjerni softver otkriven po\u010detkom 2024. godine koji cilja na <em>Linux<\/em> sisteme. Ovaj <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> je dizajniran da dobije neovla\u0161teni pristup <em>Linux<\/em> sistemu iskori\u0161\u0107avanjem ranjivosti ili prevarom korisnika da preuzmu i izvr\u0161e <em>backdoor<\/em>. Sigurnosni istra\u017eiva\u010di kompanije <a href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/springtail-kimsuky-backdoor-espionage\" target=\"_blank\" rel=\"noopener\"><em>Symantec<\/em> su identifikovali ovaj zlonamjerni softver<\/a> kako cilja na vladine i komercijalne organizacije u Ju\u017enoj Koreji i smatra se nasljednikom <em>GoBear backdoor<\/em> zlonamjernog softvera.<\/span><\/p>\n<div id=\"attachment_6658\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6658\" class=\"size-full wp-image-6658\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Gomir-backdoor-malware.jpg\" alt=\"Gomir\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Gomir-backdoor-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Gomir-backdoor-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Gomir-backdoor-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Gomir-backdoor-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Gomir-backdoor-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Gomir-backdoor-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Gomir-backdoor-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6658\" class=\"wp-caption-text\">Gomir, Linux backdoor; Source: Bing Image Creator<\/p><\/div>\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_85 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#GOBEAR\" >GOBEAR<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#Funkcionalnost\" >Funkcionalnost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#Distribucija\" >Distribucija<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#GOMIR\" >GOMIR<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#Funkcionalnost-2\" >Funkcionalnost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#Distribucija-2\" >Distribucija<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#KIMSUKY_APT\" >KIMSUKY APT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/24\/gomir-linux-backdoor\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"GOBEAR\"><\/span><strong><span style=\"font-size: 14pt;\"><em>GOBEAR<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>GoBear<\/em> je zlonamjerni <em>backdoor<\/em> koji je prvi put otkriven po\u010detkom 2023. godine, prvenstveno je usmjeren na <em>Windows<\/em> sisteme. Vjeruje se da je <em>backdoor<\/em> djelo <em>Kimsuky <\/em>grupe, <a href=\"https:\/\/sajberinfo.com\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"noopener\">napredne trajne prijetnje<\/a> (eng. <em>Advanced persistent threat \u2013 APT<\/em>) poznate po svojim dugoro\u010dnim kampanjama usmjerenim na razli\u010dite industrije i organizacije u Ju\u017enoj Koreji. Ovaj <em>backdoor <\/em>djeli neke sli\u010dnosti sa drugim poznatim porodicama zlonamjernog softvera kao \u0161to su <em>TrollStealer<\/em> i <em>AppleJeus<\/em>, ali se izdvaja po svojim jedinstvenim karakteristikama i metodama distribucije. <a href=\"https:\/\/medium.com\/s2wblog\/kimsuky-disguised-as-a-korean-company-signed-with-a-valid-certificate-to-distribute-troll-stealer-cfa5d54314e2\" target=\"_blank\" rel=\"noopener\">Identifikovan je tokom istrage bezbjednosne firme <em>S2W<\/em><\/a> vezane za kampanju napada na jednu ju\u017enokorejsku organizaciju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionalnost\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionalnost<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>GoBear<\/em> funkcioni\u0161e kao <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> za daljinski pristup (eng. <em>remote access trojan &#8211; RAT<\/em>), omogu\u0107avaju\u0107i napada\u010dima da dobiju neovla\u0161teni pristup kompromitovanim sistemima i daljinski izvr\u0161avaju komande. Zlonamjerni softver je dizajniran da bude postojan, \u0161to zna\u010di da ostaje aktivan na sistemu \u010dak i nakon ponovnog pokretanja ili odjave korisnika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom instaliran, <em>GoBear<\/em> uspostavlja stalno prisustvo kreiranjem sistemske usluge i pode\u0161avanjem <em>cron<\/em> zadatka koji ga automatski pokre\u0107e nakon ponovnog pokretanja. <em>Backdoor<\/em> zatim \u010deka komande sa svog servera za komandu i kontrolu (<em>C2<\/em>) da izvr\u0161i razli\u010dite zadatke kao \u0161to su manipulacija datotekama, upravljanje procesima, mre\u017ena komunikacija ili eskalacija privilegija.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Distribucija\"><\/span><strong><span style=\"font-size: 14pt;\">Distribucija<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>GoBear<\/em> je prvobitno distribuiran preko trojanizovanog softverskog paketa preru\u0161enog kao a\u017euriranje za popularnu ju\u017enokorejsku aplikaciju koja se odnosi na izgradnju. Napada\u010di su koristili taktiku dru\u0161tvenog in\u017eenjeringa da prevare korisnike da preuzmu zlonamjerno a\u017euriranje sa kompromitovane internet stranice ili priloga elektronske po\u0161te, \u0161to je na kraju dovelo do instaliranja <em>GoBear<\/em> zlonamjernog softvera na njihove sisteme.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"GOMIR\"><\/span><strong><span style=\"font-size: 14pt;\"><em>GOMIR<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Kimsuky<\/em> grupa je primije\u0107ena da po\u010detkom 2024. godine koristi novu verziju <em>GoBear<\/em> <em>backdoor<\/em> zlonamjernog softvera koja je evoluirala u <em>Gomir<\/em> <em>backdoor<\/em>. <em>Gomir<\/em> zlonamjerni softver je skoro identi\u010dan <em>GoBear<\/em> zlonamjernom softver u pogledu strukture k\u00f4da i funkcionalnosti. Me\u0111utim, sve funkcije zavisne od operativnog sistema su ili izostavljene ili ponovo implementirane u <em>Gomir <\/em>koji je namijenjen za <em>Linux<\/em> operativne sisteme. Ovaj <em>backdoor<\/em> podr\u017eava do 17 komandi koje omogu\u0107avaju njegovim operaterima da izvr\u0161avaju razli\u010dite zadatke kao \u0161to su operacije sa datotekama, pokretanje obrnutog posrednika (eng. <em>reverse proxy<\/em>), privremeno zaustavljanje komunikacije komandi i kontrole (<em>C2<\/em>), izvr\u0161avanje komandi u komandnom okru\u017eenju i zavr\u0161avanje sopstvenog procesa.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionalnost-2\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionalnost<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Gomir<\/em> <em>backdoor<\/em> pokazuje razli\u010dite funkcionalnosti nakon izvr\u0161enja, a njegov primarni cilj je da dobije neovla\u0161teni pristup <em>Linux<\/em> sistemu i odr\u017ei postojanost kreiranjem <em>systemd<\/em> usluge, kopiranjem u <em>\/var\/log\/syslogd<\/em> i poku\u0161ajem da konfiguri\u0161e <em>crontab<\/em> komandu za pokretanje pri ponovnom pokretanju sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon \u0161to se izvr\u0161i, <em>Gomir<\/em> provjerava vrijednost <em>ID<\/em> grupe trenutnog procesa da bi utvrdio da li se pokre\u0107e kao grupa <em>0<\/em> (povezan sa privilegijama superkorisnika ili administratora). Ako je ovaj uslov ispunjen, zlonamjerni softver nastavlja sa svojim aktivnostima. Kopira se u <em>\/var\/log\/syslogd<\/em> i kreira sistemski servis pod nazivom \u201c<em>syslogd<\/em>\u201d, koji zatim pokre\u0107e. Kada se originalna izvr\u0161na datoteka obri\u0161e i po\u010detni proces prekine, <em>Gomir<\/em> uspostavlja postojanost na zara\u017eenoj <em>Linux<\/em> ma\u0161ini.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedna od najzna\u010dajnijih karakteristika <em>Gomir<\/em> zlonamjernog softvera je njegova sposobnost da komunicira sa svojim serverom za komandu i kontrolu (<em>C2<\/em>) putem <em>HTTP<\/em> <em>POST<\/em> zahteva na <em>http:\/\/216.189.159[.]34\/mir\/index.php<\/em>. Ova komunikacija omogu\u0107ava napada\u010dima da izdaju komande i primaju podatke od zara\u017eenog sistema, omogu\u0107avaju\u0107i im da obavljaju razli\u010dite zadatke kao \u0161to su operacije sa datotekama, pokretanje obrnutog posrednika, privremeno zaustavljanje <em>C2<\/em> komunikacija, izvr\u0161avanje komandi komandnog okru\u017eenja iz aplikacija\u00a0 i prekidanje sopstvenog procesa. <\/span><span style=\"font-size: 14pt;\">Zlonamjerni softver podr\u017eava do 17 razli\u010ditih komandi koje se mogu izvr\u0161iti na inficiranom Linux ure\u0111aju. Ove komande uklju\u010duju:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Pauziranje komunikacije sa <em>C2<\/em> serverom,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izvr\u0161avanje proizvoljnih komandi komande ljuske,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prijava trenutnog radnog direktorijuma,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Promjena radnog direktorijuma,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ispitivanje krajnjih ta\u010daka mre\u017ee,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ga\u0161enje sopstvenog procesa,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prijava imena izvr\u0161ne putanje,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Prikupljanje statistike o stablima direktorijuma,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izvje\u0161taj o detaljima konfiguracije sistema (ime hosta, korisni\u010dko ime, <em>CPU<\/em>, <em>RAM<\/em>, mre\u017eni interfejsi),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Konfiguracija rezervne ljuske za izvr\u0161avanje komandi,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Konfiguracija kodne stranice za tuma\u010denje izlaza komande ljuske,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pauziranje komunikacije do odre\u0111enog datuma i vremena,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Odgovor sa \u201e<em>Nije implementirano na Linux-u!<\/em>\u201c,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pokretanje obrnutog posrednika za udaljene veze<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Izvje\u0161taj kontrolnih krajnjih ta\u010daka za obrnutog posrednika,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pravljenje proizvoljne datoteke u sistemu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Eksfiltriranje datoteka iz sistema.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Distribucija-2\"><\/span><span style=\"font-size: 14pt;\">Distribucija<\/span><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Istra\u017eivanje pokazuje da su paketi za instalaciju softvera i a\u017euriranja sada me\u0111u najomiljenijim vektorima infekcije za <em>Kimsuky<\/em> grupu. Varijacije ove taktike uklju\u010duju napade na lanac nabavke softvera, trojanizovane programe za instalaciju softvera i la\u017ene instalacije softvera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"KIMSUKY_APT\"><\/span><strong><span style=\"font-size: 14pt;\"><em>KIMSUKY APT<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Kimsuky<\/em>, tako\u0111e poznat kao <em>APT43<\/em>, je veoma sofisticirana grupa za sajber \u0161pijuna\u017eu koja aktivno djeluje od kada je prvi put primije\u0107ena 2013. godine. Ovaj sjevernokorejski <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akter<\/a> stekao je ozlogla\u0161enost u zajednici sajber bezbednosti zbog svoje uporne i evoluiraju\u0107e taktike, prvenstveno fokusirane na skupljanje obavje\u0161tajnih podatka. Primarna meta <em>Kimsuky <\/em>grupe bila je Ju\u017ena Koreja, me\u0111utim, grupa je tako\u0111e pro\u0161irio svoj domet na Japan, Vijetnam, Bliski Istok, pa \u010dak i Sjedinjene Dr\u017eave i Evropu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Grupa je poznata po svom pedantnom pristupu u vo\u0111enju kampanja sajber \u0161pijuna\u017ee. Na\u010din djelovanja <em>Kimsuky <\/em>grupe uklju\u010duje kori\u0161tenje ranjivosti <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/zero-day\/\" target=\"_blank\" rel=\"nofollow noopener\">nultog dana<\/a> i zlonamjernog softvera za dobijanje neovla\u0161tenog pristupa osjetljivim informacijama. Jedna od naj\u010de\u0161\u0107ih taktika koju koristi ovaj zlonamjerni akter je prikrivanje pre\u010dica <a href=\"https:\/\/sajberinfo.com\/2024\/03\/18\/living-off-the-land-lotl\/\" target=\"_blank\" rel=\"nofollow noopener\">kori\u0161tenjem tehnike stapanja sa okolinom<\/a> (eng. <em>Living off the Land \u2013 LotL<\/em>) ili <em>LNK<\/em> datoteka u benigne dokumente ili datoteke. \u010cine\u0107i to, napada\u010di prevare korisnike da izvr\u0161e ove zlonamjerne datoteke, koje zauzvrat skrivaju <em>PowerShell<\/em> komande ili \u010dak pune binarne datoteke za krajnjeg korisnika koji ih ne otkrije na prvi pogled.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Napadi <em>Kimsuky <\/em>grupe su pomno planirani i izvedeni sa precizno\u0161\u0107u. Grupa je pokazala napredno razumijevanje svojih meta i njihovih sistema, omogu\u0107avaju\u0107i joj da zaobi\u0111e bezbjednosne mjere i ostane neotkrivena tokom du\u017eeg perioda. Ovaj nivo sofisticiranosti je obilje\u017eje grupa za sajber \u0161pijuna\u017eu koje sponzori\u0161e dr\u017eava kao \u0161to je <em>Kimsuky<\/em>.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Fokus grupe na prikupljanje obavje\u0161tajnih podataka doveo ju je do ciljanja vladinih institucija, istra\u017eiva\u010dkih centara, akademskih institucija i kriti\u010dne infrastrukture. Infiltriranjem u ove organizacije, <em>Kimsuky <\/em>grupa mo\u017ee da dobije pristup osjetljivim informacijama koje bi mogle da pru\u017ee vrijedan uvid u strate\u0161ko planiranje, politi\u010dki razvoj ili tehnolo\u0161ki napredak.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Uprkos tome \u0161to funkcioni\u0161e nezavisno, vjeruje se da je <em>Kimsuky <\/em>grupa dio ve\u0107eg ekosistema sjevernokorejskih grupa za naprednu trajnu prijetnju (<em>APT<\/em>). Zajedni\u010dke taktike, ciljevi i vjerovatno dr\u017eavno sponzorstvo sugeri\u0161u da ove grupe mogu biti slabo povezane ili barem uskla\u0111ene u svojim ciljevima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sli\u010dnosti izme\u0111u aktivnosti <em>Kimsuky <\/em>grupe i aktivnosti drugih sjevernokorejskih <em>APT<\/em> grupa kao \u0161to su <em>Kimsuke<\/em>, <em>Lazarus<\/em> <em>Group<\/em> i <em>Blindside<\/em> navele su neke stru\u010dnjake za <a href=\"https:\/\/sajberinfo.com\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednost<\/a> da spekuli\u0161u da bi ove grupe mogle da sara\u0111uju ili djele resurse. Me\u0111utim, ne postoje konkretni dokazi koji podr\u017eavaju ovu teoriju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Gomir<\/em> je sofisticirani <em>backdoor<\/em> zlonamjerni softver namijenjen za infekciju <em>Linux<\/em> operativnih sistema koji nudi razli\u010dite funkcionalnosti nakon izvr\u0161enja. Njegovi primarni ciljevi uklju\u010duju dobijanje neovla\u0161tenog pristupa <em>Linux<\/em> ure\u0111aju, odr\u017eavanje postojanosti kreiranjem sistemskih usluga i <em>crontab<\/em> komandi i komunikaciju sa <em>C2<\/em> serverom radi daljinskog izvr\u0161avanja komandi.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver podr\u017eava do 17 razli\u010ditih komandi, omogu\u0107avaju\u0107i napada\u010dima da izvr\u0161avaju zadatke kao \u0161to su operacije sa datotekama, manipulacija mre\u017eom, upravljanje korisnicima, <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a>\/de\u0161ifrovanje i jo\u0161 mnogo toga. Metode <em>backdoor<\/em> distribucije, koje uklju\u010duju pakete za instalaciju softvera i a\u017euriranja, pokazuju va\u017enost za\u0161tite ovih vektora od potencijalnih prijetnji. Organizacije moraju da ostanu budne i da budu informisane o zlonamjernim akterima kao \u0161to je <em>Kimsuky<\/em> grupa i da u skladu sa tim prilagode svoje bezbjednosne strategije.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Evo nekoliko preporu\u010denih koraka za za\u0161titu od <em>Gomir<\/em> <em>backdoor<\/em> zlonamjernog softvera:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavati <em>Linux<\/em> sisteme a\u017euriranim sa najnovijim bezbjednosnim ispravkama i a\u017euriranjima softvera. Ovo mo\u017ee da sprije\u010di napada\u010de da iskoriste poznate ranjivosti u zastarelom softveru,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti jake <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> za sve korisni\u010dke naloge i osigurati se da se redovno mijenjaju. Pored toga, razmisliti o primjeni autentifikacije u vi\u0161e koraka (eng. <em>multi-factor authentication<\/em> \u2013 <em>MFA<\/em>) da bi se dodao dodatni sloj za\u0161tite,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati robusnu politiku kontrole pristupa, kao \u0161to je princip najmanjih privilegija, koji ograni\u010dava pristup korisnika samo na ono \u0161to je neophodno za njihove radne funkcije. Ovo mo\u017ee da sprije\u010di napada\u010de da dobiju neovla\u0161teni pristup osjetljivim sistemima i podacima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusni softver<\/a> posebno dizajniran za <em>Linux<\/em> sisteme da bi se otkrile i blokirale poznate prijetnje zlonamjernog softvera , uklju\u010duju\u0107i <em>Gomir,<\/em><\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti segmentaciju mre\u017ee da bi se ograni\u010dilo \u0161irenje zlonamjernog softvera u slu\u010daju da do\u0111e do napada. Ovo mo\u017ee pomo\u0107i da se umanji potencijalna \u0161teta i sprije\u010di njeno \u0161irenje na druge dijelove mre\u017ee,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno nadgledati <em>Linux<\/em> sisteme radi neuobi\u010dajenih aktivnosti ili pona\u0161anja koje bi moglo ukazati na kompromitovanje, kao \u0161to su neovla\u0161teni poku\u0161aji prijavljivanja ili neo\u010dekivane modifikacije datoteke. Koristiti alate kao \u0161to su sistemi za otkrivanje upada (eng. <em>intrusion detection systems \u2013 IDS<\/em>) i softver za analizu dnevnika kako bi se ove prijetnje identifikovale u realnom vremenu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obrazovati korisnike o rizicima <a href=\"https:\/\/sajberinfo.com\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> napada<\/a> i drugim taktikama dru\u0161tvenog in\u017eenjeringa koje koriste napada\u010di da bi dobili pristup sistemima. Ovo mo\u017ee pomo\u0107i korisnicima da sprije\u010de da postanu \u017ertve ciljanih napada, kao \u0161to su oni koji koriste la\u017ene instalacije za aplikacije kao \u0161to je <em>Gomir<\/em>.<\/span><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Gomir je novi backdoor zlonamjerni softver otkriven po\u010detkom 2024. godine koji cilja na Linux sisteme. Ovaj zlonamjerni softver je dizajniran da dobije neovla\u0161teni pristup Linux sistemu iskori\u0161\u0107avanjem ranjivosti ili prevarom korisnika da preuzmu i&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6658,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[142,1334,1332,1333,1336,1330,1337,1335,1329,1338,1331,61,609],"class_list":["post-6657","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-backdoor","tag-c2-server","tag-cron-jobs","tag-crontab","tag-gobear","tag-gomir","tag-http-post-requests","tag-kimsuky-apt","tag-linux-malware","tag-linux-systems","tag-persistence","tag-phishing","tag-social-engineering"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6657","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6657"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6657\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6658"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6657"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6657"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6657"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}