Novo backdoor do Linux atacando usuários do Linux por meio de pacotes de instalação.
O Linux é amplamente utilizado em vários servidores, infraestrutura em nuvem e dispositivos de Internet das Coisas , o que o torna um alvo atraente para obter acesso não autorizado ou espalhar malware.
Além disso, sua natureza de código aberto permite que os atores da ameaça estudem o código e identifiquem de perto novas vulnerabilidades.
Pesquisadores de segurança cibernética da Symantec identificaram recentemente um novo backdoor do Linux que ataca ativamente os usuários do Linux por meio de pacotes de instalação.
Novo Backdoor Do Linux
A Symantec revelou um novo backdoor para Linux chamado Linux.Gomir, que foi desenvolvido pelo grupo de hackers Springtail da Coreia do Norte e teria sido conectado a recentes ataques de malware contra alvos sul-coreanos.
Gomir é semelhante ao backdoor GoBear, encontrado em campanhas anteriores do Springtail, onde software trojanizado foi usado.
Springtail, que se acredita ser uma organização unida dentro da inteligência militar norte-coreana, já realizou missões de espionagem cibernética antes, incluindo o ataque de limpeza de disco em 2014 à Korea Hydro and Nuclear Power.
Recentemente, utilizaram indevidamente as políticas do DMARC para fins de engenharia social , fazendo-se passar por especialistas em questões relativas à Coreia do Norte.
O grupo Springtail lançou uma campanha entregando o novo malware Troll Stealer, um ladrão de informações baseado em Go com código sobreposto de malware Springtail anterior, como backdoors GoBear ou BetaSeed.
O Troll Stealer foi distribuído por meio de instaladores de software trojanizados, incluindo aqueles para TrustPKI, NX_PRNMAN da SGA Solutions e Wizvera VeraPort, que foi anteriormente comprometido em 2020.
Visando agências governamentais, copiando dados GPKI, a campanha explorou sites legítimos que exigiam login.
O GoBear também se espalhou, disfarçando-se como um instalador de aplicativos de uma organização de transporte coreana com um certificado roubado.
A Symantec notou o Linux.Gomir, uma versão Linux do backdoor GoBear Windows do Springtail, que compartilha muita semelhança de código.
Se executado com o argumento “instalar”, Gomir verifica seus privilégios copiando-se para /var/log/syslogd e criando um serviço systemd persistente se for root ou então configurando uma entrada crontab.
Quando instalado, ele se comunica via HTTP POST com seu servidor C&C, enviando um ID de infecção após fazer o hash do nome do host e do nome de usuário e receber comandos codificados em Base64.
A estrutura e as rotinas de instalação do Gomir, que são notavelmente semelhantes às do GoBear, também destacam as capacidades de segmentação multiplataforma do grupo.
Gomir emprega criptografia personalizada para decodificar comandos recebidos, garantindo que o sistema possa suportar 17 operações semelhantes ao GoBear.
Esta campanha revela a inclinação dos grupos norte-coreanos em relação a vetores da cadeia de fornecimento de software, como instaladores trojanizados, aplicações falsas e canais de atualização comprometidos.
Springtail escolhe cuidadosamente softwares populares entre o público sul-coreano desejado para trojanizá-los em sites de terceiros onde devem ser instalados.
As táticas em desenvolvimento do grupo apresentam uma abordagem sofisticada e direcionada às operações de espionagem cibernética.
COIs
- 30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213 – Linux.Gomir
- 7bd723b5e4f7b3c645ac04e763dfc913060eaf6e136eecc4ee0653ad2056f3a0 – Conta-gotas GoBear
- d7f3ecd8939ae8b170b641448ff12ade2163baad05ca6595547f8794b5ad013b – Ladrão de Trolls
- 36ea1b317b46c55ed01dd860131a7f6a216de71958520d7d558711e13693c9dc – Ladrão de Trolls
- 8e45daace21f135b54c515dbd5cf6e0bd28ae2515b9d724ad2d01a4bf10f93bd – Ladrão de Trolls
- 6c2a8e2bbe4ebf1fb6967a34211281959484032af1d620cbab390e89f739c339 – Ladrão de Trolls
- 47d084e54d15d5d313f09f5b5fcdea0c9273dcddd9a564e154e222343f697822 – Ladrão de Trolls
- 8a80b6bd452547650b3e61b2cc301d525de139a740aac9b0da2150ffac986be4 – Ladrão de Trolls
- 380ec7396cc67cf1134f8e8cda906b67c70aa5c818273b1db758f0757b955d81 – Ladrão de Trolls
- ff945b3565f63cef7bb214a93c623688759ee2805a8c574f00237660b1c4d3fd – Ladrão de Trolls
- cc7a123d08a3558370a32427c8a5d15a4be98fb1b754349d1e0e48f0f4cb6bfc – Ladrão de Trolls
- 8898b6b3e2b7551edcceffbef2557b99bdf4d99533411cc90390eeb278d11ac8 – Ladrão de Trolls
- ecab00f86a6c3adb5f4d5b16da56e16f8e742adfb82235c505d3976c06c74e20 – Ladrão de Trolls
- d05c50067bd88dae4389e96d7e88b589027f75427104fdb46f8608bbcf89edb4 – Ladrão de Trolls
- a98c017d1b9a18195411d22b44dbe65d5f4a9e181c81ea2168794950dc4cbd3c – Ladrão de Trolls
- 831f27eb18caf672d43a5a80590df130b0d3d9e7d08e333b0f710b95f2cde0e0 – Ladrão de Trolls
- bc4c1c869a03045e0b594a258ec3801369b0dcabac193e90f0a684900e9a582d – Ladrão de Trolls
- 5068ead78c226893df638a188fbe7222b99618b7889759e0725d85497f533e98 – Ladrão de Trolls
- 216.189.159[.]34
Veja também:
- Dell confirma ataque cibernético, nega impacto material
- Criminosos usam campanhas de doações para aplicar golpes no RS
- Redbelt alerta para vulnerabilidades Palo Alto, Windows e Cisco
- Vulnerabilidade CrushFTP Explorada Para Executar Código Remoto
- Hackers exploram falha do LiteSpeed Cache
- Vazamento de dados do Santander afeta 3 países
- Como reduções da força de trabalho afetam a segurança cibernética
- Detalhes da violação do MITRE revelam sucessos e falhas dos invasores
- Dicas valiosas para não cair em golpes deepfake
- Código seguro para proteger contra o ransomware
- Vazamentos de Dados: Entendendo a Origem e Protegendo sua Empresa
- Vulnerabilidades comuns na indústria de commodities a serem corrigidas
Deixe sua opinião!