Kuzey Koreli hacker grubu Kimsuki, Güney Kore’deki hedeflere yönelik siber casusluk kampanyalarında Gomir adlı yeni bir Linux kötü amaçlı yazılımını yaymak için truva atı haline getirilmiş yazılım paketleri kullanıyor.
Kimsuky, Kuzey Kore’nin askeri istihbaratı Keşif Genel Bürosu (RGB) ile bağlantılı, devlet destekli bir tehdit aktörüdür.
Şubat 2024’ün başlarında, SW2 tehdit istihbarat şirketindeki araştırmacılar, Kimsuky’nin Go tabanlı yazılımın Troll Stealer varyantını hedeflere bulaştırmak için SGA Solutions, Wizvera VeraPort’tan TrustPKI ve NX_PRNMAN gibi çeşitli yazılım çözümlerinin truva atı haline getirilmiş sürümlerini kullandığı bir kampanyayı bildirdi. Windows kötü amaçlı yazılımı GoBear.
Bir Broadcom şirketi olan Symantec’teki analistler, Güney Kore devlet kuruluşlarını hedef alan aynı kampanyayı araştırırken, GoBear arka kapısının Linux versiyonu gibi görünen yeni bir kötü amaçlı araç keşfettiler.
Gomir’in arka kapısı
Gomir, GoBear ile pek çok benzerliğe sahiptir ve doğrudan komuta ve kontrol (C2) iletişimi, kalıcılık mekanizmaları ve çok çeşitli komutların yürütülmesine yönelik destek özelliklerine sahiptir.
Kurulumun ardından kötü amaçlı yazılım, Linux makinesinde kök ayrıcalıklarıyla çalışıp çalışmadığını belirlemek için grup kimliği değerini kontrol eder ve ardından kendisini Linux makinesine kopyalar. /var/log/syslogd ısrar için.
Daha sonra, bir oluşturur sistemd ‘syslogd’ adlı hizmet, orijinal yürütülebilir dosyayı silmeden ve ilk işlemi sonlandırmadan önce hizmeti başlatan komutlar verir.
Arka kapı aynı zamanda mevcut çalışma dizininde bir yardımcı dosya (‘cron.txt’) oluşturarak sistemin yeniden başlatılması sırasında çalışacak bir crontab komutunu yapılandırmaya çalışır. Crontab listesi başarıyla güncellenirse yardımcı dosya da kaldırılır.
Gomir, HTTP POST istekleri yoluyla C2’den ilgili komut alındığında tetiklenen aşağıdaki 17 işlemi destekler.
- C&C sunucusuyla iletişimi duraklatın.
- Rastgele kabuk komutlarını yürütün.
- Geçerli çalışma dizinini bildirin.
- Çalışma dizinini değiştirin.
- Ağ uç noktalarını araştırın.
- Kendi sürecini sonlandırın.
- Yürütülebilir yol adını bildirin.
- Dizin ağaçlarıyla ilgili istatistikleri toplayın.
- Sistem yapılandırma ayrıntılarını rapor edin (ana bilgisayar adı, kullanıcı adı, CPU, RAM, ağ arayüzleri).
- Komutları yürütmek için bir geri dönüş kabuğu yapılandırın.
- Kabuk komut çıktısını yorumlamak için bir kod sayfası yapılandırın.
- Belirtilen tarih saatine kadar iletişimi duraklatın.
- “Linux’ta uygulanmadı!” şeklinde yanıt verin
- Uzak bağlantılar için ters proxy başlatın.
- Ters proxy için kontrol uç noktalarını rapor edin.
- Sistemde isteğe bağlı dosyalar oluşturun.
- Dosyaları sistemden çıkarın.
Symantec araştırmacılarına göre yukarıdaki komutlar “GoBear Windows arka kapısı tarafından desteklenenlerle neredeyse aynı.”
Kampanyanın analizine dayanarak araştırmacılar, tedarik zinciri saldırılarının (yazılım, truva atı kullanan yükleyiciler, sahte yükleyiciler) Kuzey Koreli casusluk aktörleri için tercih edilen saldırı yöntemini temsil ettiğine inanıyor.
Araştırmacılar, truva atı haline getirilecek yazılımın seçiminin “amaçlanan Güney Kore merkezli hedeflere bulaşma şansını en üst düzeye çıkarmak için dikkatlice seçilmiş gibi göründüğünü” belirtiyorlar.
Symantec’in raporu, Gomir, Troll Stealer ve GoBear Dropper dahil olmak üzere kampanyada gözlemlenen çok sayıda kötü amaçlı araç için bir dizi tehlike göstergesi içeriyor.