Kimsuky hackers deploy new Linux backdoor via trojanized installers

北朝鮮のハッカー・グループKimsukiは、トロイの木馬化されたソフトウェア・インストーラを介して配信されるGoBearバックドアのバージョンであるGomirと呼ばれる新しいLinuxマルウェアを使用している。

Kimsukyは、北朝鮮の軍事情報機関であるReconnaissance General Bureau(RGB)に関連する国家支援の脅威行為者です。

2024年2月初旬、SW2脅威情報会社の研究者は、キムスキーが様々なソフトウェアソリューションのトロイの木馬化バージョン(SGA SolutionsのTrustPKIやNX_PRNMAN、Wizvera VeraPortなど)を使用して、韓国のターゲットをTroll StealerやGoベースのWindowsマルウェアGoBearに感染させるキャンペーンについて報告しました。

Broadcom 社傘下の Symantec 社のアナリストは、韓国の政府機関を標的とした同じキャンペーンを調査していたところ、GoBear バックドアの Linux 版と思われる新たな悪意のあるツールを発見しました。

Gomirバックドア

GomirはGoBearと多くの類似点を持ち、直接的なコマンド・アンド・コントロール(C2)通信、永続化メカニズム、幅広いコマンドの実行をサポートしていることが特徴です。

インストールされると、マルウェアはグループ ID の値をチェックして Linux マシンの root 権限で実行されるかどうかを判断し、永続化のために自身を/var/log/syslogdにコピーします。

次に、「syslogd」という名前のsystemdサービスを作成し、元の実行ファイルを削除して初期プロセスを終了する前に、サービスを開始するコマンドを発行する。

バックドアはまた、現在の作業ディレクトリにヘルパーファイル(‘cron.txt’)を作成することで、システム再起動時に実行するcrontabコマンドの設定を試みる。crontabリストの更新に成功すると、ヘルパーファイルも削除される。

Gomir は以下の 17 のオペレーションをサポートしており、対応するコマンドを HTTP POST リクエスト経由で C2 から受信するとトリガーされる。

  • C&C サーバーとの通信を一時停止する。
  • 任意のシェルコマンドを実行する。
  • 現在の作業ディレクトリを報告する。
  • 作業ディレクトリの変更
  • ネットワークエンドポイントのプローブ
  • 自身のプロセスを終了させる。
  • 実行可能パス名の報告
  • ディレクトリツリーに関する統計情報の収集
  • システム構成の詳細(ホスト名、ユーザー名、CPU、RAM、ネットワークインターフェース)を報告する。
  • コマンド実行用のフォールバックシェルを設定する。
  • シェル・コマンド出力を解釈するためのコードページを設定する。
  • 指定した日時まで通信を一時停止する。
  • Linuxには実装されていません!」と応答する。
  • リモート接続用のリバースプロキシの起動
  • リバースプロキシの制御エンドポイントを報告する。
  • システム上に任意のファイルを作成する。
  • システムからファイルを流出させる。

Symantecの研究者によると、上記のコマンドは「GoBear Windowsバックドアがサポートするコマンドとほぼ同じ」です。

このキャンペーンの分析に基づき、研究者は、サプライチェーン攻撃(ソフトウェア、トロイの木馬化インストーラ、偽インストーラ)は、北朝鮮のスパイ活動家が好む攻撃手法であると考えています。

研究者は、トロイの木馬化されるソフトウェアの選択は、”韓国を拠点とするターゲットに感染する可能性を最大化するために慎重に選択されたようだ “と指摘している。

シマンテックのレポートには、Gomir、Troll Stealer、GoBear ドロッパーなど、このキャンペーンで観測された複数の悪意のあるツールの侵害指標一式が含まれています。