Linux çok sayıda sunucuda, bulut altyapısında ve Nesnelerin İnterneti cihazlarında yaygın olarak kullanılmaktadır, bu da onu yetkisiz erişim elde etmek veya kötü amaçlı yazılım yaymak için çekici bir hedef haline getirmektedir.
Bunun yanı sıra açık kaynak yapısı, tehdit aktörlerinin kodu incelemesine ve içindeki yeni güvenlik açıklarını yakından tespit etmesine olanak tanır.
Symantec’teki siber güvenlik araştırmacıları yakın zamanda kurulum paketleri aracılığıyla Linux kullanıcılarına aktif olarak saldıran yeni bir Linux arka kapısını tespit etti.
Yeni Linux Arka Kapısı
Symantec, Linux adında yeni bir Linux arka kapısını duyurdu. Kuzey Kore’deki Springtail hack grubu tarafından geliştirilen Gomir’in, Güney Kore hedeflerine yönelik son kötü amaçlı yazılım saldırılarıyla bağlantılı olduğu bildirildi.
Gomir, Truva Atı haline getirilmiş yazılımın kullanıldığı önceki Springtail kampanyalarında bulunan GoBear arka kapısına benzer.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın
Kuzey Kore askeri istihbaratı içinde birbirine sıkı sıkıya bağlı bir örgüt olduğuna inanılan Springtail, daha önce de Kore Hidro ve Nükleer Enerjisine yönelik 2014 disk temizleme saldırısı da dahil olmak üzere siber casusluk görevleri gerçekleştirmişti.
Yakın zamanda DMARC politikalarını sosyal mühendislik amaçları doğrultusunda kötüye kullandılar ve Kuzey Kore ile ilgili konularda uzmanların kimliğine büründüler.
Springtail grubu, GoBear veya BetaSeed arka kapıları gibi önceki Springtail kötü amaçlı yazılımlarından örtüşen kodlara sahip, Go tabanlı bir bilgi hırsızı olan yeni Troll Stealer kötü amaçlı yazılımını sunan bir kampanya başlattı.
Troll Stealer, aralarında TrustPKI, SGA Solutions’ın NX_PRNMAN’ı ve daha önce 2020’de ele geçirilen Wizvera VeraPort’un da bulunduğu Truva atı haline getirilmiş yazılım yükleyicileri aracılığıyla dağıtıldı.
GPKI verilerini kopyalayarak devlet kurumlarını hedef alan kampanya, oturum açmayı gerektiren meşru web sitelerinden yararlandı.
GoBear da çalıntı sertifikaya sahip Koreli bir ulaşım kuruluşunun uygulama yükleyicisi kılığına girerek yayıldı.
Symantec, Springtail’in GoBear Windows arka kapısının Linux versiyonu olan ve birçok kod benzerliği paylaşan Linux.Gomir’i fark etti.
“install” argümanıyla çalıştırılırsa Gomir, kendisini /var/log/syslogd dizinine kopyalayarak ve root ise kalıcı bir systemd hizmeti oluşturarak veya başka bir crontab girişi yapılandırarak ayrıcalıklarını kontrol eder.
Yüklendiğinde, C&C sunucusuyla HTTP POST üzerinden iletişim kurar, ana bilgisayar adı ve kullanıcı adını karma hale getirdikten sonra bir enfeksiyon kimliği gönderir ve Base64 kodlu komutları alır.
Gomir’in GoBear’ınkine oldukça benzeyen yapısı ve kurulum rutinleri aynı zamanda grubun platformlar arası hedefleme yeteneklerini de vurguluyor.
Gomir, alınan komutların kodunu çözmek için özel şifreleme kullanıyor ve bu da sistemin GoBear benzeri 17 işlemi destekleyebilmesini sağlıyor.
Bu kampanya, Kuzey Koreli grupların Truva atı yüklü yükleyiciler, sahte uygulamalar ve güvenliği ihlal edilmiş güncelleme kanalları gibi yazılım tedarik zinciri vektörlerine olan eğilimini ortaya koyuyor.
Springtail, Güney Koreli hedef kitleler arasındaki popüler yazılımları, kurulmaları gereken üçüncü taraf web sitelerinde Truva atı haline getirmek için dikkatlice seçiyor.
Grubun gelişen taktikleri, siber casusluk operasyonlarına yönelik sofistike ve hedefe yönelik bir yaklaşım sergiliyor.
IOC’ler
- 30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213 – Linux.Gomir
- 7bd723b5e4f7b3c645ac04e763dfc913060eaf6e136eecc4ee0653ad2056f3a0 – GoBear Damlalığı
- d7f3ecd8939ae8b170b641448ff12ade2163baad05ca6595547f8794b5ad013b – Trol Hırsızı
- 36ea1b317b46c55ed01dd860131a7f6a216de71958520d7d558711e13693c9dc – Trol Hırsızı
- 8e45daace21f135b54c515dbd5cf6e0bd28ae2515b9d724ad2d01a4bf10f93bd – Trol Hırsızı
- 6c2a8e2bbe4ebf1fb6967a34211281959484032af1d620cbab390e89f739c339 – Trol Hırsızı
- 47d084e54d15d5d313f09f5b5fcdea0c9273dcddd9a564e154e222343f697822 – Trol Hırsızı
- 8a80b6bd452547650b3e61b2cc301d525de139a740aac9b0da2150ffac986be4 – Trol Hırsızı
- 380ec7396cc67cf1134f8e8cda906b67c70aa5c818273b1db758f0757b955d81 – Trol Hırsızı
- ff945b3565f63cef7bb214a93c623688759ee2805a8c574f00237660b1c4d3fd – Trol Hırsızı
- cc7a123d08a3558370a32427c8a5d15a4be98fb1b754349d1e0e48f0f4cb6bfc – Trol Hırsızı
- 8898b6b3e2b7551edcceffbef2557b99bdf4d99533411cc90390eeb278d11ac8 – Trol Hırsızı
- ecab00f86a6c3adb5f4d5b16da56e16f8e742adfb82235c505d3976c06c74e20 – Trol Hırsızı
- d05c50067bd88dae4389e96d7e88b589027f75427104fdb46f8608bbcf89edb4 – Trol Hırsızı
- a98c017d1b9a18195411d22b44dbe65d5f4a9e181c81ea2168794950dc4cbd3c – Trol Hırsızı
- 831f27eb18caf672d43a5a80590df130b0d3d9e7d08e333b0f710b95f2cde0e0 – Trol Hırsızı
- bc4c1c869a03045e0b594a258ec3801369b0dcabac193e90f0a684900e9a582d – Trol Hırsızı
- 5068ead78c226893df638a188fbe7222b99618b7889759e0725d85497f533e98 – Trol Hırsızı
- 216.189.159[.]34
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın