Nuovo Backdoor Linux: Attacco agli utenti Linux tramite pacchetti di installazione

Nuova Backdoor Linux

Attacco agli utenti Linux tramite pacchetti di installazione

Linux è ampiamente utilizzato in numerosi server, infrastrutture cloud e dispositivi Internet delle cose, il che lo rende un obiettivo attraente per gli attacchi che cercano di ottenere accessi non autorizzati o diffondere malware.

Il suo carattere open-source permette anche ai cybercriminali di studiare il codice e identificare nuove vulnerabilità da sfruttare.

Linux.Gomir: la nuova backdoor Linux

I ricercatori di cybersecurity di Symantec hanno recentemente identificato un nuovo backdoor Linux, Linux.Gomir, sviluppato dal gruppo di hacker Springtail dalla Corea del Nord.

Questo backdoor è stato collegato a recenti attacchi malware contro obiettivi sudcoreani ed è simile al backdoor GoBear, precedentemente trovato in campagne Springtail, dove è stato utilizzato software Trojanizzato.

Springtail: un’organizzazione militare nordcoreana

Springtail è un’organizzazione militare nordcoreana che ha svolto missioni di spionaggio informatico in passato, tra cui l’attacco wiper del disco del 2014 contro Korea Hydro and Nuclear Power.

Il gruppo ha recentemente abusato delle politiche DMARC per scopi di ingegneria sociale, impersonando esperti in questioni riguardanti la Corea del Nord.

La campagna di Troll Stealer

Springtail ha lanciato una campagna che distribuisce il nuovo malware Troll Stealer, un malware Go-based che ruba informazioni con codice sovrapponibile a malware precedenti come GoBear o BetaSeed backdoors.

Troll Stealer è stato distribuito tramite installatori software Trojanizzati, tra cui quelli per TrustPKI, NX_PRNMAN di SGA Solutions e Wizvera VeraPort, precedentemente compromessi nel 2020.

L’obiettivo di questa campagna era quello di colpire le agenzie governative, copiando i dati GPKI, sfruttando siti web legittimi che richiedono il login.

Linux.Gomir: la backdoor Linux di Springtail

Symantec ha notato Linux.Gomir, una versione Linux del backdoor Windows GoBear di Springtail, che condivide molte somiglianze di codice.

Quando viene eseguito con l’argomento “install”, Gomir verifica i suoi privilegi copiandosi in /var/log/syslogd e creando un’istanza persistent di systemd se è root, altrimenti configurando un’istanza crontab.

Quando viene installato, comunica tramite HTTP POST con il suo server C&C, inviando un ID di infezione dopo aver codificato l’hostname e il nome utente e ricevendo comandi Base64-encoded.

La struttura e le routine di installazione di Gomir, che sono sorprendentemente simili a quelle di GoBear, evidenziano anche le capacità di targeting multipiattaforma del gruppo.

Gomir utilizza una crittografia personalizzata per decodificare i comandi ricevuti, garantendo che il sistema possa supportare 17 operazioni GoBear-like.

Questa campagna rivela la preferenza dei gruppi nordcoreani per i vettori di catena del software, come installatori Trojanizzati, app false e canali di aggiornamento compromessi.

Springtail sceglie con cura software popolari tra i pubblici sudcoreani desiderati per Trojanizzarli su siti web di terze parti dove devono essere installati.

Le tattiche di sviluppo del gruppo mostrano un approccio sofisticato e mirato alle operazioni di spionaggio informatico.

Indicatori di compromissione (IOC)

  • 30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213 – Linux.Gomir
  • 7bd723b5e4f7b3c645ac04e763dfc913060eaf6e136eecc4ee0653ad2056f3a0 – GoBear Dropper
  • d7f3ecd8939ae8b170b641448ff12ade2163baad05ca6595547f8794b5ad013b – Troll Stealer
  • 36ea1b317b46c55ed01dd860131a7f6a216de71958520d7d558711e13693c9dc – Troll Stealer
  • 8e45daace21f135b54c515dbd5cf6e0bd28ae2515b9d724ad2d01a4bf10f93bd – Troll Stealer
  • 6c2a8e2bbe4ebf1fb6967a34211281959484032af1d620cbab390e89f739c339 – Troll Stealer
  • 47d084e54d15d5d313f09f5b5fcdea0c9273dcddd9a564e154e222343f697822 – Troll Stealer
  • 8a80b6bd452547650b3e61b2cc301d525de139a740aac9b0da2150ffac986be4 – Troll Stealer
  • 380ec7396cc67cf1134f8e8cda906b67c70aa5c818273b1db758f0757b955d81 – Troll Stealer
  • ff945b3565f63cef7bb214a93c623688759ee2805a8c574f00237660b1c4d3fd – Troll Stealer
  • cc7a123d08a3558370a32427c8a5d15a4be98fb1b754349d1e0e48f0f4cb6bfc – Troll Stealer
  • 8898b6b3e2b7551edcceffbef2557b99bdf4d99533411cc90390eeb278d11ac8 – Troll Stealer
  • ecab00f86a6c3adb5f4d5b16da56e16f8e742adfb82235c505d3976c06c74e20 – Troll Stealer
  • d05c50067bd88dae4389e96d7e88b589027f75427104fdb46f8608bbcf89edb4 – Troll Stealer
  • a98c017d1b9a18195411d22b44dbe65d5f4a9e181c81ea2168794950dc4cbd3c – Troll Stealer
  • 831f27eb18caf672d43a5a80590df130b0d3d9e7d08e333b0f710b95f2cde0e0 – Troll Stealer
  • bc4c1c869a03045e0b594a258ec3801369b0dcabac193e90f0a684900e9a582d – Troll Stealer
  • 5068ead78c226893df638a188fbe7222b99618b7889759e0725d85497f533e98 – Troll Stealer
  • 216.189.159[.]34

Suggerimenti e best practice per proteggersi da Linux.Gomir

  1. Aggiornamenti software: Assicurati che il tuo software Linux sia aggiornato alle ultime versioni per ridurre il rischio di vulnerabilità note.
  2. Controllo dei pacchetti di installazione: Verifica sempre l’autenticità dei pacchetti di installazione prima di installarli, soprattutto se provengono da fonti sconosciute.
  3. Monitoraggio del sistema: Monitora attivamente il tuo sistema alla ricerca di attività sospette, come processi sconosciuti o connessioni di rete insolite.
  4. Antivirus e antimalware: Utilizza software antivirus e antimalware affidabili per rilevare e rimuovere eventuali malware presenti sul tuo sistema.
  5. Backup dei dati: Esegui regolarmente il backup dei dati importanti per garantire la loro integrità e disponibilità in caso di infezione da malware.
  6. Formazione sulla sicurezza: Forma te stesso e i tuoi dipendenti sulle best practice di sicurezza informatica per ridurre il rischio di compromissione del sistema.
  7. Sensibilizzazione sull’ingegneria sociale: Sii consapevole delle tecniche di ingegneria sociale e non fornire mai informazioni sensibili o eseguire azioni non richieste su richiesta.
  8. Utilizzo di VPN: Utilizza una VPN affidabile per crittografare le tue connessioni Internet e proteggere i tuoi dati dalla sorveglianza e dall’intercettazione.

Fonte: https://gbhackers.com/linux-backdoor-attack-installation-packages/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto