Gomir Backdoor

El grup Kimsuky, també conegut com Springtail, és un grup d'amenaça persistent avançada (APT) associat a l'Oficina General de Reconeixement (RGB) de Corea del Nord. Observacions recents revelen el desplegament d'una adaptació a Linux de la porta del darrere GoBear dins d'una campanya dirigida a entitats de Corea del Sud.

Anomenada Gomir, aquesta porta del darrere reflecteix de prop l'estructura de GoBear, amb una superposició significativa de codi entre les dues versions de programari maliciós. En particular, Gomir no té cap funcionalitat de GoBear que depengui d'un sistema operatiu específic, ja sigui absent del tot o reconfigurada per a la compatibilitat dins de l'entorn Linux.

El predecessor de Gomir Backdoor s’ha utilitzat per oferir programari maliciós amenaçador

A principis de febrer de 2024, els investigadors van documentar l'aparició de GoBear en relació amb una campanya que distribuïa programari maliciós conegut com Troll Stealer , també anomenat TrollAgent. Un examen posterior del programari maliciós posterior a la infecció va revelar similituds amb famílies de programari maliciós Kimsuky establertes com AppleSeed i AlphaSeed.

L'anàlisi posterior va descobrir que el programari maliciós es propaga a través de programes de seguretat troianitzats obtinguts d'un lloc web associat a una associació relacionada amb la construcció de Corea del Sud, tot i que l'associació específica no es revela. Els programes compromesos inclouen nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport i WIZVERA VeraPort. En particular, WIZVERA VeraPort havia estat atacat anteriorment en un atac a la cadena de subministrament dut a terme pel Grup Lazarus el 2020.

A més, s'ha observat que el programari maliciós Troll Stealer s'està difós a través d'instal·ladors il·legítims dissenyats per a Wizvera VeraPort. Tanmateix, el mètode específic utilitzat per distribuir aquests paquets d'instal·lació segueix sent desconegut actualment.

La porta posterior Gomir està dissenyada específicament per infectar sistemes Linux

GoBear mostra semblances en els noms de les funcions amb una porta posterior de Springtail antiga anomenada BetaSeed, escrita en C++, que indica un origen comú potencial entre les dues amenaces. Aquest programari maliciós està equipat amb capacitats per executar ordres des d'un servidor remot i es distribueix a través de comptagotes disfressats d'instal·ladors falsificats per a una aplicació associada a una organització de transport coreana.

La seva variant de Linux, Gomir, compta amb un conjunt de 17 ordres, que permeten als atacants dur a terme operacions de fitxers, iniciar un servidor intermediari invers, aturar temporalment les comunicacions de comandament i control (C2), executar ordres de shell i finalitzar el seu propi procés.

Aquesta recent campanya de Kimsuky subratlla el canvi cap als paquets d'instal·lació i actualitzacions de programari com a vectors d'infecció preferits per als actors d'espionatge de Corea del Nord. La selecció de programari dirigit sembla minuciosament adaptada per augmentar la probabilitat d'infectar els objectius de Corea del Sud previstos.

Implementar mesures efectives contra els atacs de programari maliciós

Les contramesures efectives contra les infeccions de la porta del darrere impliquen un enfocament de diverses capes orientat a la prevenció, la detecció i la resposta. Aquestes són algunes de les millors pràctiques:

• Programari de seguretat actualitzat : assegureu-vos que tot el programari de seguretat, inclosos els programes anti-malware, s'actualitzi periòdicament per detectar i eliminar les portes del darrere i altres amenaces.
• Actualitzacions periòdiques de programari : els sistemes operatius, les aplicacions i el microprogramari haurien de tenir els darrers pedaços de seguretat per mitigar les vulnerabilitats conegudes que sovint exploten les portes posteriors.
• Segmentació de la xarxa : configureu la segmentació de la xarxa per aïllar els sistemes crítics i limitar la propagació d'infeccions si hi ha una porta posterior.
• Controls d'accés i autenticació sòlids : apliqueu contrasenyes segures, implementeu l'autenticació multifactor (MFA) i restringiu els privilegis d'accés per reduir les oportunitats d'accés no autoritzat als sistemes.
• Formació d'empleats : eduqueu els empleats sobre les tàctiques d'enginyeria social que s'utilitzen per desplegar les portes del darrere, com ara correus electrònics de pesca, i animeu-los a informar ràpidament d'activitats sospitoses.
• Llista blanca d'aplicacions : utilitzeu la llista blanca d'aplicacions només per permetre que s'executin programes aprovats, evitant que s'executi programari no autoritzat o maliciós, incloses les portes posteriors.
• Anàlisi del comportament : utilitzeu eines que supervisin el comportament del sistema per a activitats anòmales indicatives d'infeccions de porta posterior, com ara connexions de xarxa inesperades o modificacions de fitxers.
• Auditories de seguretat periòdiques : realitzeu auditories de seguretat de rutina i proves de penetració per reconèixer i abordar les vulnerabilitats que podrien ser explotades per les portes del darrere.
• Còpia de seguretat i recuperació : implementeu còpies de seguretat de dades periòdiques emmagatzemades en un entorn independent per mitigar l'impacte d'una infecció de porta posterior i facilitar la recuperació en cas de pèrdua de dades.

Mitjançant l'adopció d'un enfocament proactiu que combina mesures preventives amb capacitats sòlides de detecció i resposta, les organitzacions poden millorar la seva resistència davant les infeccions de la porta del darrere i mitigar els riscos associats de manera eficaç.