朝鲜APT组织 Kimsuky 使用 Gomir 后门程序攻击 Linux 系统

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

新一轮网络攻击活动

由朝鲜军事情报局（Reconnaissance General Bureau, RGB）资助的网络间谍组织 Kimsuky 再次发动了新一轮的网络攻击活动。他们开发了一种名为 Gomir 的 Linux 恶意软件，这是 GoBear 后门程序的变种，并通过木马化的软件安装程序进行传播。此次攻击再次引起了网络安全专家的高度警惕。

Kimsuky 近期的攻击活动

根据 SW2 威胁情报研究人员的揭示，三个月前，Kimsuky 利用被入侵的软件版本（如 TrustPKI、SGA Solutions 的 NX_PRNMAN 和 Wizvera VeraPort）对韩国目标进行攻击。这些木马化的安装程序旨在感染受害者的系统，植入 Troll Stealer 和 Windows 版本的 GoBear 后门程序。

Symantec 公司（博通公司旗下）分析人员在调查对韩国政府实体的攻击时，发现了 GoBear 的 Linux 版本。

Gomir 后门程序的特性

根据 Bleeping Computer 的调查，Gomir 具备与 GoBear 类似的功能，包括直接的指挥与控制（C2）通信、持久性机制以及支持多种命令。在安装过程中，Gomir 会通过检查组ID值来验证其是否拥有系统的root权限。随后，它会将自己复制到 /var/log/syslogd 目录，以确保持久性。

持久性和执行机制

为了确保持久性，Gomir 创建了一个名为“syslogd”的系统服务，并启动该服务，删除原始可执行文件并终止初始进程。此外，后门程序还尝试配置 crontab 命令，使其在系统重启时运行，通过在工作目录中创建一个辅助文件（'cron.txt'）。如果 crontab 列表成功更新，则删除该辅助文件。

支持的操作

Gomir 支持通过HTTP POST请求从C2服务器触发的17种操作，这些操作包括：

- 暂停与C2服务器的通信

- 执行任意shell命令

- 报告当前工作目录

- 更改工作目录

- 探测网络端点

- 终止自身进程

- 报告可执行文件路径

- 收集目录树统计信息

- 报告系统配置详情（主机名、用户名、CPU、RAM、网络接口）

- 配置备用shell以执行命令

- 配置用于解释shell命令输出的代码页

- 暂停通信直到指定日期时间

- 响应“Linux上未实现！”

- 启动用于远程连接的反向代理

- 报告反向代理的控制端点

- 在系统上创建任意文件

- 从系统中窃取文件

Symantec 指出，这些命令几乎与 GoBear Windows 后门程序支持的命令完全相同。

供应链攻击策略

研究人员认为，供应链攻击是朝鲜间谍组织如 Kimsuky 的首选策略，通过木马化的软件安装程序最大化对目标的感染几率。

威胁指标

Symantec 的报告列出了多个恶意工具（包括 Gomir、Troll Stealer 和 GoBear dropper）的威胁指标，这些指标帮助网络安全专业人员检测和缓解这些工具带来的威胁。

Gomir 的出现只是朝鲜攻击中的冰山一角。除了 Kimsuky 之外，还有更多危险的黑客组织在活跃。针对供应链攻击和恶意软件的利用，组织机构需要保持高度警惕，以应对这些网络攻击活动。

在美国，司法部（DOJ）揭示了在朝鲜身份盗窃阴谋中被捕的人员。这一行动据称攻击了美国公司。

---

*关注我们的微信公众账号，了解更多关于网络安全和国际网络攻击动态的最新资讯。*

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜APT组织 Kimsuky 使用 Gomir 后门程序攻击 Linux 系统