TTL OSINT

Разбор Linux.Gomir: Понимание TTP этого бэкдора

В статье рассматривается бэкдор Linux.Gomir, компонент атаки на цепочку поставок, проведенной группой Kimsuky. Бэкдор, который имеет сходство со своими предшественниками, встроен в пакеты скомпрометированного программного обеспечения и используется для проникновения и компрометации целевых хостов. Злоумышленники создают уникальный маячок или идентификатор заражения для каждого взломанного хоста, который используется для управления зараженными машинами и взаимодействия с ними. Бэкдор устанавливается как системная служба и взаимодействует со своим сервером управления (C2) для получения и выполнения команд. Для обнаружения Linux.Gomir исследовательская группа Splunk Threat разработала несколько средств обнаружения содержимого системы безопасности, в том числе одно для обнаружения подозрительных изменений в заданиях cron с помощью команды crontab с параметрами списка, а другое для обнаружения перезапуска службы Linux. Эти обнаружения могут помочь аналитикам безопасности и специалистам blue team защититься от угрозы.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, который позволяет быстрее интегрировать статьи с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.splunk.com/en_us/blog/security/breaking-down-linux-gomir-understanding-this-backdoors-ttps.html

Выборочные показатели Compromise:

• 30584f13c0a9d0c86562c803de350432d5a0607a06b24481ad4d92cdf7288213

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал