Gomir Backdoor

Kimsuky 组织又名 Springtail，是一个与朝鲜侦察总局 (RGB) 有关联的高级持续性威胁 (APT) 组织。最近的观察显示，他们在针对韩国实体的活动中部署了 GoBear 后门的 Linux 改编版。

这个后门名为 Gomir，其结构与 GoBear 非常相似，两个恶意软件版本的代码有很大的重叠。值得注意的是，Gomir 缺乏 GoBear 中任何依赖于特定操作系统的功能，要么完全不存在，要么为了与 Linux 环境兼容而重新配置。

Gomir 后门的前身已被用来传播威胁性恶意软件

2024 年 2 月初，研究人员记录了 GoBear 的出现，该病毒与一项传播名为Troll Stealer （也称为 TrollAgent）的恶意软件的活动有关。对感染后的恶意软件进行进一步检查后发现，它与 AppleSeed 和 AlphaSeed 等成熟的 Kimsuky 恶意软件家族有相似之处。

随后的分析发现，该恶意软件是通过从与韩国建筑相关协会相关的网站获得的木马安全程序传播的，尽管具体协会仍未披露。被入侵的程序包括 nProtect Online Security、NX_PRNMAN、TrustPKI、UbiReport 和 WIZVERA VeraPort。值得注意的是，WIZVERA VeraPort 此前曾在 2020 年 Lazarus Group 发起的供应链攻击中成为目标。

此外，据悉，Troll Stealer 恶意软件正在通过为 Wizvera VeraPort 设计的非法安装程序进行传播。但是，目前尚不清楚分发这些安装包的具体方法。

Gomir 后门专门用于感染 Linux 系统

GoBear 的函数名称与较旧的 Springtail 后门 BetaSeed（用 C++ 编写）相似，表明这两种威胁可能具有共同的来源。该恶意软件具备从远程服务器执行命令的功能，并通过伪装成与韩国运输组织相关的应用程序的伪造安装程序的植入程序进行传播。

其 Linux 变体 Gomir 拥有一组 17 条命令，使攻击者能够执行文件操作、启动反向代理、暂时停止命令和控制 (C2) 通信、执行 shell 命令以及终止其自身的进程。

最近的 Kimsuky 活动凸显了朝鲜间谍活动者将软件安装包和更新作为首选感染媒介的趋势。针对性软件的选择似乎经过精心设计，以提高感染韩国目标的可能性。

采取有效措施抵御恶意软件攻击

针对后门感染的有效对策涉及多层次的方法，旨在预防、检测和响应。以下是一些最佳做法：

• 最新的安全软件：确保所有安全软件（包括反恶意软件程序）定期更新，以检测和删除后门和其他威胁。
• 定期软件更新：操作系统、应用程序和固件应具有最新的安全补丁，以减轻后门经常利用的已知漏洞。
• 网络分段：设置网络分段以隔离关键系统，并在存在后门的情况下限制感染的传播。
• 强大的访问控制和身份验证：强制使用强密码、实施多因素身份验证 (MFA) 并限制访问权限，以减少未经授权访问系统的机会。
• 员工培训：教育员工了解用于部署后门的社会工程策略，例如网络钓鱼电子邮件，并鼓励他们及时报告可疑活动。
• 应用程序白名单：使用应用程序白名单仅允许批准的程序运行，防止未经授权或恶意软件（包括后门）的执行。
• 行为分析：使用工具监视系统行为，以发现表明后门感染的异常活动，例如意外的网络连接或文件修改。
• 定期安全审计：进行例行安全审计和渗透测试，以识别和解决可能被后门利用的漏洞。
• 备份和恢复：实施定期数据备份，存储在独立的环境中，以减轻后门感染的影响，并在数据丢失时方便恢复。

通过采用将预防措施与强大的检测和响应能力相结合的主动方法，组织可以增强抵御后门感染的能力并有效降低相关风险。