Kimsuky, известная северокорейская группа кибершпионажа использует совершенно новый бэкдор для атак на Linux-устройства жертв.
Исследователи кибербезопасности Symantec, назвавшие бэкдор Gomir, утверждают, что новая угроза - это, по сути, форк бэкдора GoBear.
Среди сходств между Gomir и GoBear - прямая связь с инфраструктурой управления и контроля, используемой злоумышленниками для управления зараженными устройствами и кражи конфиденциальных данных во время кибератаки (C2), методами сохранения и различные возможности, такие как приостановка связи с C2, запуск произвольных команд оболочки, изменение рабочего каталога, зондирование конечных точек сети, отчет о конфигурации системы, запуск обратного прокси для удаленных соединений, создание произвольных файлов в системе, удаление файлов из системы и многое другое.
Северокорейский кибершпионаж
Все это «почти идентично» тому, что GoBear делает на машине под управлением Windows, говорят в Symantec.
Группа кибершпионажа Kimsuky обычно атакует крупные организации, как в частном, так и в государственном секторе, за рубежом (в основном в Южной Корее). Во многих предыдущих случаях Kimsuky была замечена в атаках на цепочки поставок, взламывая программное обеспечение.
Kimsuky также известна под именами Thallium или Velvet Chollima. Группа действует как минимум с 2012 года и помимо Южной Кореи, известна тем, что атакует организации в США, Японии и других странах. Их основной целью является сбор разведданных и кибершпионаж, а не финансовая выгода.
Группа обычно использует фишинг и социальную инженерию для распространения среди своих жертв вредоносных программ, с помощью которых у жертв похищается информация. Среди наиболее крупных кампаний кибершпионажа проведенных этой группой - операция «Кимсуки» 2013 года (атака на южнокорейские аналитические центры и университеты), атаки, связанные с «Ковид-19» в 2020 году (атака на организации, занимающиеся разработкой вакцины) и атаки на энергетический сектор в 2021 году.