กลุ่ม Kimsuky ใช้ Linux backdoor ตัวใหม่ มุ่งเป้าโจมตีไปยังเกาหลีใต้

กลุ่ม Hacker ชาวเกาหลีเหนือที่เป็นที่รู้จักในชื่อ Kimsuki กำลังใช้ Linux backdoor ตัวใหม่ ในชื่อ Gomir ซึ่งเป็นหนึ่งในเวอร์ชัน ของ GoBear backdoor ที่ถูกติดตั้งผ่านโปรแกรมที่ฝัง trojan ไว้

Kimsuky เป็นกลุ่ม Hacker ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งมีความเกี่ยวข้องกับหน่วยข่าวกรองทางทหารของเกาหลีเหนือ หรือ Reconnaissance General Bureau (RGB)

ในช่วงต้นเดือนกุมภาพันธ์ 2024 นักวิจัยจากบริษัทข่าวกรองภัยคุกคาม SW2 ได้รายงานเกี่ยวกับแคมเปญการโจมตี ที่ Kimsuky ใช้ซอฟต์แวร์ต่าง ๆ ที่ฝัง trojan ไว้ เช่น TrustPKI และ NX_PRNMAN จาก SGA Solutions, Wizvera VeraPort เพื่อโจมตีไปยังเป้าหมายชาวเกาหลีใต้ด้วย Troll Stealer และ GoBear ซึ่งเป็นมัลแวร์บน Windows ที่ใช้ภาษา GO

ต่อมานักวิจัยจาก Symantec ได้พบแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่องค์กรรัฐบาลเกาหลีใต้ โดยได้ค้นพบ GoBear backdoor ในรูปแบบ Linux

Gomir backdoor

Gomir backdoor มีความคล้ายคลึงกับ GoBear backdoor หลายอย่าง เช่น feature การเชื่อมต่อผ่าน command and control (C2), การแฝงตัวบนระบบ และการรองรับการดำเนินการคำสั่งที่หลากหลาย

ซึ่งเมื่อ backdoor ทำการโจมตี และเข้าสู่เครื่องได้แล้ว ก็จะทำการตรวจสอบว่ากำลังทำงานด้วยสิทธิ์ root บนเครื่อง Linux หรือไม่ จากนั้นจะทำการคัดลอกตัวเองไปที่ /var/log/syslogd จากนั้นก็จะสร้าง System service ในชื่อ 'syslogd' และเรียกใช้คำสั่ง ก่อนที่จะลบไฟล์ปฏิบัติการดั้งเดิม และยุติขั้นตอนการทำงาน

รวมถึง backdoor ยังพยายามกำหนดค่าคำสั่ง crontab ให้ทำงานเมื่อรีบูตระบบด้วยการสร้าง helper file (‘cron.txt’) ในไดเร็กทอรีการทำงานปัจจุบัน หากอัปเดตรายการ crontab สำเร็จ helper file ก็จะถูกลบออกเช่นกัน

Gomir backdoor รองรับคำสั่งดำเนินการ 17 รายการต่อไปนี้ ซึ่งจะทริกเกอร์เมื่อได้รับคำสั่งที่เกี่ยวข้องจาก C2 server ผ่าน HTTP POST requests

  • หยุดการสื่อสารกับ C2 server ชั่วคราว
  • เรียกใช้ shell command
  • รายงาน directory ปัจจุบันที่กำลังทำงานอยู่
  • เปลี่ยน directory ที่กำลังทำงานอยู่
  • ตรวจสอบเครือข่ายปลายทาง
  • หยุดการทำงานของ process ตัวเอง
  • รายงานชื่อ executable pathname
  • รวบรวมข้อมูลสถิติเกี่ยวกับ directory
  • รายงานรายละเอียดการกำหนดค่าระบบ (hostname, username, CPU, RAM, network interfaces)
  • กำหนดค่า shell สำหรับ executing command
  • กำหนดค่า codepage สำหรับ interpreting shell command output
  • หยุดการสื่อสารชั่วคราวจนกว่าจะถึงวันที่ และเวลาที่ระบุ
  • ตอบกลับด้วย "Not implemented on Linux!"
  • เรียกใช้ reverse proxy สำหรับ remote connection
  • รายงาน control endpoints สำหรับ reverse proxy
  • สร้างไฟล์บนระบบ
  • ส่งไฟล์ออกจากระบบ

โดยนักวิจัยเชื่อว่าการโจมตีในลักษณะ supply-chain attacks (ซอฟต์แวร์ที่ติดตั้ง trojan, ตัวติดตั้งปลอม) เป็นวิธีการโจมตีหลักสำหรับกลุ่ม Hacker ชาวเกาหลีเหนือ

ที่มา : bleepingcomputer