Gomir Backdoor

Група Kimsuky, також відома як Springtail, є групою Advanced Persistent Threan (APT), пов’язаною з Головним розвідувальним бюро Північної Кореї (RGB). Нещодавні спостереження показали, що вони розгорнули адаптацію бекдору GoBear під Linux у рамках кампанії, націленої на південнокорейські організації.

Цей бекдор під назвою Gomir точно відображає структуру GoBear, показуючи значне перекриття коду між двома версіями зловмисного програмного забезпечення. Примітно, що в Gomir відсутні будь-які функції GoBear, які залежать від конкретної операційної системи, або взагалі відсутні, або переналаштовані для сумісності в середовищі Linux.

Попередник Gomir Backdoor використовувався для доставки загрозливого шкідливого програмного забезпечення

На початку лютого 2024 року дослідники задокументували появу GoBear у зв’язку з кампанією, яка розповсюджувала зловмисне програмне забезпечення, відоме як Troll Stealer або TrollAgent. Подальше дослідження зловмисного програмного забезпечення після зараження виявило схожість із відомими сімействами шкідливих програм Kimsuky, такими як AppleSeed і AlphaSeed.

Подальший аналіз виявив, що зловмисне програмне забезпечення поширюється через троянські програми безпеки, отримані з веб-сайту, пов’язаного з південнокорейською асоціацією, пов’язаною з будівництвом, хоча конкретна асоціація залишається нерозкритою. Зламані програми включають nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport і WIZVERA VeraPort. Примітно, що WIZVERA VeraPort раніше була ціллю атаки на ланцюг поставок, здійсненої Lazarus Group у 2020 році.

Крім того, було зазначено, що зловмисне програмне забезпечення Troll Stealer поширюється через нелегітимні інсталятори, розроблені для Wizvera VeraPort. Однак конкретний метод, який використовується для розповсюдження цих інсталяційних пакетів, наразі залишається невідомим.

Бекдор Gomir розроблено спеціально для зараження систем Linux

Назви функцій GoBear схожі на старіший бекдор Springtail під назвою BetaSeed, написаний мовою C++, що вказує на потенційне спільне походження двох загроз. Це зловмисне програмне забезпечення має можливість виконувати команди з віддаленого сервера та поширюється через дроппери, замасковані під підроблені інсталятори для програми, пов’язаної з корейською транспортною організацією.

Його варіант Linux, Gomir, може похвалитися набором із 17 команд, що дозволяє зловмисникам виконувати операції з файлами, ініціювати зворотний проксі-сервер, тимчасово зупиняти зв’язок командно-контрольного (C2), виконувати команди оболонки та завершувати власний процес.

Ця нещодавня кампанія Kimsuky підкреслює перехід до інсталяційних пакетів програмного забезпечення та оновлень як переважних векторів зараження для північнокорейських шпигунських акторів. Вибір цільового програмного забезпечення, здається, ретельно розроблено для підвищення ймовірності зараження передбачуваних цілей Південної Кореї.

Застосуйте ефективні заходи проти атак шкідливих програм

Ефективні заходи протидії бекдор-інфекціям включають багаторівневий підхід, спрямований на запобігання, виявлення та реагування. Ось деякі практичні поради:

• Оновлене програмне забезпечення безпеки : переконайтеся, що все програмне забезпечення безпеки, включаючи програми захисту від зловмисних програм, регулярно оновлюються для виявлення та видалення бекдорів та інших загроз.
• Регулярні оновлення програмного забезпечення : операційні системи, програми та мікропрограми повинні мати найновіші виправлення безпеки для пом’якшення відомих уразливостей, якими часто користуються бекдори.
• Сегментація мережі : налаштуйте сегментацію мережі, щоб ізолювати критичні системи та обмежити поширення інфекцій, якщо присутній бекдор.
• Надійний контроль доступу та автентифікація : використовуйте надійні паролі, запровадьте багатофакторну автентифікацію (MFA) і обмежте привілеї доступу, щоб зменшити можливості несанкціонованого доступу до систем.
• Навчання співробітників : навчіть співробітників тактиці соціальної інженерії, яка використовується для розгортання бекдорів, наприклад фішингові електронні листи, і заохочуйте їх негайно повідомляти про підозрілу діяльність.
• Білий список програм : використовуйте білий список програм лише для того, щоб дозволити запускати схвалені програми, запобігаючи запуску несанкціонованого або шкідливого програмного забезпечення, зокрема бекдорів.
• Аналіз поведінки : використовуйте інструменти, які відстежують поведінку системи на наявність аномальних дій, що вказують на бекдор-інфекції, наприклад несподівані мережеві підключення або модифікації файлів.
• Регулярні аудити безпеки : Проводьте регулярні аудити безпеки та тестування на проникнення, щоб розпізнати та усунути вразливості, якими можуть скористатися бекдори.
• Резервне копіювання та відновлення : регулярно створюйте резервні копії даних, що зберігаються в незалежному середовищі, щоб пом’якшити вплив бекдор-інфекції та полегшити відновлення у разі втрати даних.

Застосовуючи проактивний підхід, який поєднує превентивні заходи з надійними можливостями виявлення та реагування, організації можуть підвищити свою стійкість проти бекдор-інфекцій і ефективно зменшити пов’язані з цим ризики.