Le groupe de hackers nord-coréen Kimsuki a utilisé des logiciels chevaux de Troie pour fournir un nouveau malware Linux appelé Gomir, une version de la porte dérobée GoBear fournie via des installateurs de logiciels chevaux de Troie.

Kimsuky est un acteur menaçant parrainé par l’État lié au renseignement militaire nord-coréen, le Bureau général de reconnaissance (RGB).

Début février 2024, des chercheurs de la société de renseignement sur les menaces SW2 ont signalé une campagne au cours de laquelle Kimsuky a utilisé des versions cheval de Troie de diverses solutions logicielles, par exemple TrustPKI et NX_PRNMAN de SGA Solutions, Wizvera VeraPort, pour infecter des cibles sud-coréennes avec Troll Stealer et le GoBear de logiciels malveillants Windows basé sur Go.

Les analystes de Symantec, une société de Broadcom, examinant la même campagne qui ciblait les organisations gouvernementales sud-coréennes, ont découvert un nouvel outil malveillant qui semble être une variante Linux de la porte dérobée GoBear.

La porte dérobée Gomir
Gomir partage de nombreuses similitudes avec GoBear et propose une communication directe de commande et de contrôle (C2), des mécanismes de persistance et une prise en charge de l’exécution d’un large éventail de commandes.

Lors de l’installation, le logiciel malveillant vérifie la valeur de l’ID de groupe pour déterminer s’il s’exécute avec les privilèges root sur la machine Linux, puis se copie dans /var/log/syslogd pour la persistance.

Ensuite, il crée un service systemd nommé ‘syslogd’ et émet des commandes qui démarrent le service avant de supprimer l’exécutable d’origine et de terminer le processus initial.

La porte dérobée essaie également de configurer une commande crontab à exécuter au redémarrage du système en créant un fichier d’aide ‘ ‘ cron.txt’) dans le répertoire de travail actuel. Si la liste crontab est mise à jour avec succès, le fichier d’aide est également supprimé.

Gomir prend en charge les 17 opérations suivantes, déclenchées lorsque la commande correspondante est reçue du C2 via des requêtes HTTP POST.

  • Suspendez la communication avec le serveur C & C.
  • Exécuter des commandes shell arbitraires.
  • Signaler le répertoire de travail actuel.
  • Modifiez le répertoire de travail.
  • Sondez les points de terminaison du réseau.
  • Terminer son propre processus.
  • Indiquez le chemin d’accès de l’exécutable.
  • Collectez des statistiques sur les arborescences de répertoires.
  • Rapportez les détails de la configuration du système (nom d’hôte, nom d’utilisateur, CPU, RAM, interfaces réseau).
  • Configurez un shell de secours pour exécuter des commandes.
  • Configurez une page de codes pour interpréter la sortie de la commande shell.
  • Suspendez la communication jusqu’à une date / heure spécifiée.
  • Répondez par « Non implémenté sur Linux! »
  • Démarrez un proxy inverse pour les connexions distantes.
  • Signaler les points de terminaison de contrôle pour le proxy inverse.
  • Créer des fichiers arbitraires sur le système.
  • Exfiltrer les fichiers du système.

Selon les chercheurs de Symantec, les commandes ci-dessus « sont presque identiques à celles prises en charge par la porte dérobée GoBear Windows. »

Sur la base de l’analyse de la campagne, les chercheurs estiment que les attaques de la chaîne d’approvisionnement (logiciels, installateurs de chevaux de Troie, faux installateurs) représentent la méthode d’attaque préférée des acteurs de l’espionnage nord-coréens.

Les chercheurs notent que le choix du logiciel à cheval de Troie « semble avoir été soigneusement choisi pour maximiser les chances d’infecter ses cibles sud-coréennes prévues. »

Le rapport de Symantec inclut un ensemble d’indicateurs de compromission pour plusieurs outils malveillants observés dans la campagne, notamment Gomir, Troll Stealer et GoBear dropper.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *