Gomir：朝鲜黑客攻击 Linux 的新工具

韩国政府网络已经测试了该木马的威力。

网络安全公司赛门铁克发现了朝鲜 Kimsuki 组织的一个新工具，该工具用于攻击韩国的政府和商业组织。

赛门铁克 显示

这种新恶意软件名为 Gomir，是著名的 GoBear 木马的 Linux 版本，其目标是 Windows。新版本具有其前身的所有主要功能，包括与C2服务器的直接通信、系统中的保存机制以及对执行各种命令的支持。

安装后，Gomir 会检查组 ID 值以确定它是否以超级用户 (root) 权限运行。然后，恶意软件将自身复制到 /var/log/syslogd 目录以确保系统安全。接下来，创建一个名为“syslogd”的systemd服务，启动该服务并删除原始可执行文件，结束初始过程。

/var/log/syslogd 系统 系统日志

Gomir 还尝试通过在当前工作目录中创建帮助文件“cron.txt”来将 crontab 命令配置为在系统重新启动时运行。如果 crontab 列表更新成功，辅助文件将被删除。

crontab cron.txt crontab

该恶意软件支持使用通过 HTTP POST 请求从 C2 服务器接收的命令执行的 17 种操作。操作包括暂停与 C2 服务器的通信、执行任意 shell 命令、收集系统信息（主机名、用户名、CPU、RAM、网络接口）、在系统上创建任意文件并窃取它们。

赛门铁克研究人员指出，Gomir 的命令集与 Windows 版本的 GoBear 支持的命令几乎相同。这表明对不同操作系统的攻击使用了相同的方法，这证实了 Kimsuki 组织的高水平准备和组织。