Gomir Backdoor

مجموعة Kimsuky، والمعروفة أيضًا باسم Springtail، هي مجموعة للتهديد المستمر المتقدم (APT) مرتبطة بمكتب الاستطلاع العام في كوريا الشمالية (RGB). تكشف الملاحظات الأخيرة عن نشرهم لنسخة Linux من الباب الخلفي GoBear ضمن حملة تستهدف الكيانات الكورية الجنوبية.

يُسمى هذا الباب الخلفي Gomir، وهو يعكس بشكل وثيق بنية GoBear، ويتميز بتداخل كبير في التعليمات البرمجية بين إصداري البرامج الضارة. والجدير بالذكر أن Gomir يفتقر إلى أي وظائف من GoBear تعتمد على نظام تشغيل معين، إما أنها غائبة تمامًا أو تمت إعادة تكوينها للتوافق داخل بيئة Linux.

تم استخدام الإصدار السابق من Gomir Backdoor لتوصيل برامج ضارة خطيرة

في أوائل فبراير 2024، وثّق الباحثون ظهور GoBear فيما يتعلق بحملة وزعت برامج ضارة تُعرف باسم Troll Stealer ، وتسمى أيضًا TrollAgent. كشف الفحص الإضافي للبرامج الضارة بعد الإصابة عن أوجه تشابه مع عائلات البرامج الضارة Kimsuky مثل AppleSeed وAlphaSeed.

وكشف التحليل اللاحق أن البرامج الضارة يتم نشرها من خلال برامج أمنية مصابة بفيروس طروادة تم الحصول عليها من موقع ويب مرتبط بجمعية ذات صلة بالبناء في كوريا الجنوبية، على الرغم من أن الارتباط المحدد لم يتم الكشف عنه. وتشمل البرامج المخترقة nProtect Online Security وNX_PRNMAN وTrustPKI وUbiReport وWIZVERA VeraPort. والجدير بالذكر أن WIZVERA VeraPort قد تم استهدافه سابقًا في هجوم على سلسلة التوريد نفذته مجموعة Lazarus Group في عام 2020.

بالإضافة إلى ذلك، لوحظ أن البرنامج الضار Troll Stealer يتم نشره من خلال أدوات التثبيت غير الشرعية المصممة لـ Wizvera VeraPort. ومع ذلك، تظل الطريقة المحددة المستخدمة لتوزيع حزم التثبيت هذه غير معروفة حاليًا.

تم تصميم Gomir Backdoor خصيصًا لإصابة أنظمة Linux

يعرض GoBear تشابهات في أسماء الوظائف مع باب خلفي أقدم من Springtail يسمى BetaSeed، مكتوب بلغة C++، مما يشير إلى أصل مشترك محتمل بين التهديدين. تم تجهيز هذه البرامج الضارة بقدرات على تنفيذ الأوامر من خادم بعيد، وتنتشر من خلال برامج تدريب متخفية على شكل أدوات تثبيت مزيفة لتطبيق مرتبط بمؤسسة نقل كورية.

يتميز متغير Linux الخاص به، Gomir، بمجموعة من 17 أمرًا، مما يمكّن المهاجمين من إجراء عمليات الملفات، وبدء وكيل عكسي، وإيقاف اتصالات الأوامر والتحكم (C2) مؤقتًا، وتنفيذ أوامر shell، وإنهاء العملية الخاصة به.

تؤكد حملة Kimsuky الأخيرة على التحول نحو حزم تثبيت البرامج وتحديثاتها باعتبارها ناقلات العدوى المفضلة لجهات التجسس الكورية الشمالية. يبدو أن اختيار البرامج المستهدفة مصمم بدقة لتعزيز احتمالية إصابة الأهداف المقصودة في كوريا الجنوبية.

تنفيذ تدابير فعالة ضد هجمات البرامج الضارة

تتضمن التدابير المضادة الفعالة ضد العدوى الخلفية نهجًا متعدد الطبقات يهدف إلى الوقاية والكشف والاستجابة. فيما يلي بعض أفضل الممارسات:

• برامج أمان محدثة : تأكد من تحديث جميع برامج الأمان، بما في ذلك برامج مكافحة البرامج الضارة، بانتظام لاكتشاف وإزالة الأبواب الخلفية والتهديدات الأخرى.
• تحديثات البرامج المنتظمة : يجب أن تحتوي أنظمة التشغيل والتطبيقات والبرامج الثابتة على أحدث تصحيحات الأمان للتخفيف من نقاط الضعف المعروفة التي غالبًا ما تستغلها الأبواب الخلفية.
• تجزئة الشبكة : قم بإعداد تجزئة الشبكة لعزل الأنظمة المهمة والحد من انتشار العدوى في حالة وجود باب خلفي.
• ضوابط الوصول والمصادقة القوية : فرض كلمات مرور قوية، وتنفيذ المصادقة متعددة العوامل (MFA)، وتقييد امتيازات الوصول لتقليل فرص الوصول غير المصرح به إلى الأنظمة.
• تدريب الموظفين : قم بتثقيف الموظفين حول أساليب الهندسة الاجتماعية المستخدمة لنشر الأبواب الخلفية، مثل رسائل البريد الإلكتروني التصيدية، وتشجيعهم على الإبلاغ عن الأنشطة المشبوهة على الفور.
• القائمة البيضاء للتطبيقات : استخدم القائمة البيضاء للتطبيقات فقط للسماح بتشغيل البرامج المعتمدة، ومنع البرامج غير المصرح بها أو الضارة، بما في ذلك الأبواب الخلفية، من التنفيذ.
• التحليل السلوكي : استخدم الأدوات التي تراقب سلوك النظام للأنشطة الشاذة التي تشير إلى إصابات الباب الخلفي، مثل اتصالات الشبكة غير المتوقعة أو تعديلات الملفات.
• عمليات تدقيق أمنية منتظمة : قم بإجراء عمليات تدقيق أمنية روتينية واختبار الاختراق للتعرف على نقاط الضعف التي يمكن استغلالها من خلال الأبواب الخلفية ومعالجتها.
• النسخ الاحتياطي والاسترداد : تنفيذ نسخ احتياطية منتظمة للبيانات المخزنة في بيئة مستقلة للتخفيف من تأثير الإصابة بالباب الخلفي وتسهيل الاسترداد في حالة فقدان البيانات.

ومن خلال اعتماد نهج استباقي يجمع بين التدابير الوقائية وقدرات الكشف والاستجابة القوية، يمكن للمؤسسات تعزيز مرونتها ضد العدوى الخلفية والتخفيف من المخاطر المرتبطة بها بشكل فعال.