Multi-License Discount Quote
База данни за заплахи Backdoors Gomir Backdoor

Gomir Backdoor

До Mezo през Backdoors, Advanced Persistent Threat (APT)г
Превод на:
български език

Групата Kimsuky, известна също като Springtail, е група за напреднала постоянна заплаха (APT), свързана с Главното разузнавателно бюро на Северна Корея (RGB). Последните наблюдения разкриват тяхното внедряване на Linux адаптация на GoBear backdoor в рамките на кампания, насочена към южнокорейски субекти.

Наречен Gomir, този бекдор отразява точно структурата на GoBear, включвайки значително припокриване на код между двете версии на зловреден софтуер. Трябва да се отбележи, че на Gomir липсват функционалности от GoBear, които зависят от конкретна операционна система, или липсват напълно, или са преконфигурирани за съвместимост в средата на Linux.

Предшественикът на Gomir Backdoor е бил използван за доставяне на заплашителен зловреден софтуер

В началото на февруари 2024 г. изследователите документираха появата на GoBear във връзка с кампания, която разпространява зловреден софтуер, известен като Troll Stealer , наричан още TrollAgent. По-нататъшното изследване на зловреден софтуер след заразяването разкри прилики с установени фамилии злонамерен софтуер Kimsuky като AppleSeed и AlphaSeed.

Последващият анализ разкри, че зловредният софтуер се разпространява чрез троянизирани програми за сигурност, получени от уебсайт, свързан с южнокорейска асоциация, свързана със строителството, въпреки че конкретната асоциация остава неразкрита. Компрометираните програми включват nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport и WIZVERA VeraPort. Трябва да се отбележи, че WIZVERA VeraPort преди това беше обект на атака по веригата за доставки, извършена от Lazarus Group през 2020 г.

Освен това беше отбелязано, че зловредният софтуер Troll Stealer се разпространява чрез нелегитимни инсталатори, предназначени за Wizvera VeraPort. Въпреки това конкретният метод, използван за разпространение на тези инсталационни пакети, остава неизвестен.

Задната вратичка Gomir е проектирана специално за заразяване на Linux системи

GoBear показва прилики в имената на функциите с по-стар Springtail backdoor, наречен BetaSeed, написан на C++, което показва потенциален общ произход между двете заплахи. Този зловреден софтуер е снабден с възможности за изпълнение на команди от отдалечен сървър и се разпространява чрез капкомери, маскирани като фалшиви инсталатори за приложение, свързано с корейска транспортна организация.

Неговият Linux вариант, Gomir, може да се похвали с набор от 17 команди, които дават възможност на нападателите да извършват файлови операции, да инициират обратен прокси, временно да спрат комуникациите Command-and-Control (C2), да изпълняват команди на обвивката и да прекратяват собствен процес.

Тази неотдавнашна кампания на Kimsuky подчертава преминаването към софтуерни инсталационни пакети и актуализации като предпочитани вектори за заразяване за севернокорейските шпионажи. Изборът на целевия софтуер изглежда щателно пригоден, за да увеличи вероятността от заразяване на предвидените южнокорейски цели.

Прилагайте ефективни мерки срещу атаки със зловреден софтуер

Ефективните контрамерки срещу задните инфекции включват многопластов подход, насочен към предотвратяване, откриване и реакция. Ето някои най-добри практики:

  • Актуализиран софтуер за сигурност : Уверете се, че целият софтуер за сигурност, включително програмите против зловреден софтуер, се актуализира редовно, за да открива и премахва задни вратички и други заплахи.
  • Редовни актуализации на софтуера : Операционните системи, приложенията и фърмуерът трябва да имат най-новите корекции за сигурност, за да смекчат известните уязвимости, които задни вратички често използват.
  • Мрежово сегментиране : Настройте мрежово сегментиране, за да изолирате критични системи и да ограничите разпространението на инфекции, ако има задна врата.
  • Силен контрол на достъпа и удостоверяване : Налагайте силни пароли, прилагайте многофакторно удостоверяване (MFA) и ограничавайте привилегиите за достъп, за да намалите възможностите за неоторизиран достъп до системите.
  • Обучение на служителите : Обучете служителите относно тактиките на социалното инженерство, използвани за внедряване на задни вратички, като фишинг имейли, и ги насърчете да докладват незабавно за подозрителни дейности.
  • Бели списъци на приложения : Използвайте бели списъци на приложения само, за да разрешите стартирането на одобрени програми, предотвратявайки изпълнението на неоторизиран или злонамерен софтуер, включително задни вратички.
  • Анализ на поведението : Използвайте инструменти, които наблюдават поведението на системата за необичайни дейности, показващи инфекции на задната врата, като неочаквани мрежови връзки или модификации на файлове.
  • Редовни одити на сигурността : Провеждайте рутинни одити на сигурността и тестове за проникване, за да разпознаете и адресирате уязвимостите, които могат да бъдат използвани от задни врати.
  • Архивиране и възстановяване : Внедрявайте редовни резервни копия на данни, съхранявани в независима среда, за да смекчите въздействието на инфекция от задната врата и да улесните възстановяването в случай на загуба на данни.

Чрез възприемането на проактивен подход, който съчетава превантивни мерки със стабилни възможности за откриване и реагиране, организациите могат да подобрят устойчивостта си срещу инфекции на задната вратичка и да смекчат ефективно свързаните рискове.

Тенденция

Имейл измама за защита на акаунта

Phishing, Spam
След проверка от изследователи по сигурността на информацията беше незабавно установено, че имейлите „Защита на акаунта“ са измамни и са част от схема за фишинг. Основната цел на тези измамни имейли е да привлекат получателите да посетят фишинг уебсайт, предназначен да събира идентификационните данни за вход на потребителите в техните имейл акаунти. Имейл измамата за защита на акаунта може да...

Най-гледан

Зареждане...