Novo backdoor do Linux

23/05/2024 mindsecblog Notícias 4

Novo backdoor do Linux atacando usuários do Linux por meio de pacotes de instalação.

O Linux é amplamente utilizado em vários servidores, infraestrutura em nuvem e dispositivos de Internet das Coisas , o que o torna um alvo atraente para obter acesso não autorizado ou espalhar malware. 

Além disso, sua natureza de código aberto permite que os atores da ameaça estudem o código e identifiquem de perto novas vulnerabilidades.

Pesquisadores de segurança cibernética da Symantec identificaram recentemente um novo backdoor do Linux que ataca ativamente os usuários do Linux por meio de pacotes de instalação.

Novo Backdoor Do Linux

A Symantec revelou um novo backdoor para Linux chamado Linux.Gomir, que foi desenvolvido pelo grupo de hackers Springtail da Coreia do Norte e teria sido conectado a recentes ataques de malware contra alvos sul-coreanos.

Gomir é semelhante ao backdoor GoBear, encontrado em campanhas anteriores do Springtail, onde software trojanizado foi usado.

Springtail, que se acredita ser uma organização unida dentro da inteligência militar norte-coreana, já realizou missões de espionagem cibernética antes, incluindo o ataque de limpeza de disco em 2014 à Korea Hydro and Nuclear Power. 

Recentemente, utilizaram indevidamente as políticas do DMARC para fins de engenharia social , fazendo-se passar por especialistas em questões relativas à Coreia do Norte.

O grupo Springtail lançou uma campanha entregando o novo malware Troll Stealer, um ladrão de informações baseado em Go com código sobreposto de malware Springtail anterior, como backdoors GoBear ou BetaSeed. 

O Troll Stealer foi distribuído por meio de instaladores de software trojanizados, incluindo aqueles para TrustPKI, NX_PRNMAN da SGA Solutions e Wizvera VeraPort, que foi anteriormente comprometido em 2020. 

Visando agências governamentais, copiando dados GPKI, a campanha explorou sites legítimos que exigiam login. 

O GoBear também se espalhou, disfarçando-se como um instalador de aplicativos de uma organização de transporte coreana com um certificado roubado.

A Symantec notou o Linux.Gomir, uma versão Linux do backdoor GoBear Windows do Springtail, que compartilha muita semelhança de código.

Se executado com o argumento “instalar”, Gomir verifica seus privilégios copiando-se para /var/log/syslogd e criando um serviço systemd persistente se for root ou então configurando uma entrada crontab.

Quando instalado, ele se comunica via HTTP POST com seu servidor C&C, enviando um ID de infecção após fazer o hash do nome do host e do nome de usuário e receber comandos codificados em Base64.

A estrutura e as rotinas de instalação do Gomir, que são notavelmente semelhantes às do GoBear, também destacam as capacidades de segmentação multiplataforma do grupo.

Gomir emprega criptografia personalizada para decodificar comandos recebidos, garantindo que o sistema possa suportar 17 operações semelhantes ao GoBear. 

Esta campanha revela a inclinação dos grupos norte-coreanos em relação a vetores da cadeia de fornecimento de software, como instaladores trojanizados, aplicações falsas e canais de atualização comprometidos.

Springtail escolhe cuidadosamente softwares populares entre o público sul-coreano desejado para trojanizá-los em sites de terceiros onde devem ser instalados.

As táticas em desenvolvimento do grupo apresentam uma abordagem sofisticada e direcionada às operações de espionagem cibernética.

COIs

  • 30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213 – Linux.Gomir
  • 7bd723b5e4f7b3c645ac04e763dfc913060eaf6e136eecc4ee0653ad2056f3a0 – Conta-gotas GoBear
  • d7f3ecd8939ae8b170b641448ff12ade2163baad05ca6595547f8794b5ad013b – Ladrão de Trolls
  • 36ea1b317b46c55ed01dd860131a7f6a216de71958520d7d558711e13693c9dc – Ladrão de Trolls
  • 8e45daace21f135b54c515dbd5cf6e0bd28ae2515b9d724ad2d01a4bf10f93bd – Ladrão de Trolls
  • 6c2a8e2bbe4ebf1fb6967a34211281959484032af1d620cbab390e89f739c339 – Ladrão de Trolls
  • 47d084e54d15d5d313f09f5b5fcdea0c9273dcddd9a564e154e222343f697822 – Ladrão de Trolls
  • 8a80b6bd452547650b3e61b2cc301d525de139a740aac9b0da2150ffac986be4 – Ladrão de Trolls 
  • 380ec7396cc67cf1134f8e8cda906b67c70aa5c818273b1db758f0757b955d81 – Ladrão de Trolls
  • ff945b3565f63cef7bb214a93c623688759ee2805a8c574f00237660b1c4d3fd – Ladrão de Trolls
  • cc7a123d08a3558370a32427c8a5d15a4be98fb1b754349d1e0e48f0f4cb6bfc – Ladrão de Trolls
  • 8898b6b3e2b7551edcceffbef2557b99bdf4d99533411cc90390eeb278d11ac8 – Ladrão de Trolls
  • ecab00f86a6c3adb5f4d5b16da56e16f8e742adfb82235c505d3976c06c74e20 – Ladrão de Trolls
  • d05c50067bd88dae4389e96d7e88b589027f75427104fdb46f8608bbcf89edb4 – Ladrão de Trolls
  • a98c017d1b9a18195411d22b44dbe65d5f4a9e181c81ea2168794950dc4cbd3c – Ladrão de Trolls
  • 831f27eb18caf672d43a5a80590df130b0d3d9e7d08e333b0f710b95f2cde0e0 – Ladrão de Trolls
  • bc4c1c869a03045e0b594a258ec3801369b0dcabac193e90f0a684900e9a582d – Ladrão de Trolls
  • 5068ead78c226893df638a188fbe7222b99618b7889759e0725d85497f533e98 – Ladrão de Trolls
  • 216.189.159[.]34
Por: Tushar Subhra Dutta publicado em GBHackers
 

Veja também:

Sobre mindsecblog 2513 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube Linkedin

Artigos Relacionados

4 Trackbacks / Pingbacks

  1. Intel publica 41 comunicados de segurança
  2. O que é certificado digital? Como funciona, benefícios e mais
  3. O Megavazamento de Documentos do Google
  4. 400.000 servidores Linux atingidos pelo botnet Ebury

Deixe sua opinião!