Multi-License Discount Quote
Databáze hrozeb Backdoors Gomir Backdoor

Gomir Backdoor

V roce Mezo v roce Backdoors, Advanced Persistent Threat (APT)
Přeložit do:
Čeština

Skupina Kimsuky, známá také jako Springtail, je skupina APT (Advanced Persistent Threat) spojená se severokorejským Reconnaissance General Bureau (RGB). Nedávná pozorování odhalují jejich nasazení linuxové adaptace zadních vrátek GoBear v rámci kampaně zaměřené na jihokorejské subjekty.

Tato zadní vrátka nazvaná Gomir úzce zrcadlí strukturu GoBear a vyznačuje se významným překrýváním kódu mezi dvěma verzemi malwaru. Je pozoruhodné, že Gomir postrádá jakékoli funkce z GoBear, které jsou závislé na konkrétním operačním systému, buď zcela chybí, nebo jsou překonfigurovány pro kompatibilitu v prostředí Linuxu.

Předchůdce Gomir Backdoor byl použit k šíření nebezpečného malwaru

Začátkem února 2024 výzkumníci zdokumentovali vznik GoBear v souvislosti s kampaní, která šířila malware známý jako Troll Stealer , nazývaný také TrollAgent. Další zkoumání malwaru po infekci odhalilo podobnosti se zavedenými rodinami malwaru Kimsuky, jako jsou AppleSeed a AlphaSeed.

Následná analýza odhalila, že malware se šíří prostřednictvím trojanizovaných bezpečnostních programů získaných z webové stránky spojené s jihokorejskou asociací související se stavebnictvím, ačkoli konkrétní asociace zůstává nezveřejněna. Mezi ohrožené programy patří nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport a WIZVERA VeraPort. Zejména WIZVERA VeraPort byl dříve terčem útoku na dodavatelský řetězec, který provedla skupina Lazarus v roce 2020.

Kromě toho bylo zaznamenáno, že malware Troll Stealer je šířen prostřednictvím nelegitimních instalačních programů určených pro Wizvera VeraPort. Konkrétní metoda použitá k distribuci těchto instalačních balíčků však zůstává v současnosti neznámá.

Gomir Backdoor je navržen speciálně pro infikování linuxových systémů

GoBear vykazuje podobnosti v názvech funkcí se staršími zadními vrátky Springtail nazvanými BetaSeed, napsanými v C++, což naznačuje potenciální společný původ mezi těmito dvěma hrozbami. Tento malware je vybaven schopnostmi spouštět příkazy ze vzdáleného serveru a šíří se pomocí kapátků maskovaných jako padělané instalátory aplikace spojené s korejskou přepravní organizací.

Jeho linuxová varianta Gomir se může pochlubit sadou 17 příkazů, které útočníkům umožňují provádět operace se soubory, iniciovat reverzní proxy, dočasně zastavit komunikaci Command-and-Control (C2), provádět příkazy shellu a ukončit svůj vlastní proces.

Tato nedávná kampaň Kimsuky podtrhuje posun směrem k softwarovým instalačním balíčkům a aktualizacím jako preferovaným vektorům infekce pro severokorejské špionážní aktéry. Výběr cíleného softwaru se zdá být pečlivě přizpůsoben tak, aby zvýšil pravděpodobnost infikování zamýšlených jihokorejských cílů.

Zaveďte účinná opatření proti útokům malwaru

Účinná protiopatření proti backdoor infekcím zahrnují vícevrstvý přístup zaměřený na prevenci, detekci a reakci. Zde je několik doporučených postupů:

  • Aktuální bezpečnostní software : Zajistěte, aby byl veškerý bezpečnostní software, včetně antimalwarových programů, pravidelně aktualizován, aby detekoval a odstranil zadní vrátka a další hrozby.
  • Pravidelné aktualizace softwaru : Operační systémy, aplikace a firmware by měly mít nejnovější bezpečnostní záplaty, aby se zmírnily známé zranitelnosti, které zadní vrátka často zneužívají.
  • Segmentace sítě : Nastavte segmentaci sítě, abyste izolovali kritické systémy a omezili šíření infekcí, pokud jsou přítomna zadní vrátka.
  • Silné řízení přístupu a autentizace : Vynucujte si silná hesla, implementujte vícefaktorovou autentizaci (MFA) a omezte přístupová oprávnění, abyste snížili možnosti neoprávněného přístupu k systémům.
  • Školení zaměstnanců : Poučte zaměstnance o taktikách sociálního inženýrství používaných k nasazování zadních vrátek, jako jsou phishingové e-maily, a povzbuďte je, aby podezřelé aktivity okamžitě nahlásili.
  • Seznam povolených aplikací : Seznam povolených aplikací používejte pouze k povolení spouštění schválených programů a zabránění spuštění neoprávněného nebo škodlivého softwaru, včetně zadních vrátek.
  • Analýza chování : Používejte nástroje, které monitorují chování systému pro anomální aktivity indikující infekce backdoor, jako jsou neočekávaná síťová připojení nebo úpravy souborů.
  • Pravidelné bezpečnostní audity : Provádějte rutinní bezpečnostní audity a penetrační testy, abyste rozpoznali a řešili zranitelnosti, které by mohly být zneužity zadními vrátky.
  • Zálohování a obnova : Implementujte pravidelné zálohování dat uložených v nezávislém prostředí, abyste zmírnili dopad infekce backdoor a usnadnili obnovu v případě ztráty dat.

Přijetím proaktivního přístupu, který kombinuje preventivní opatření s robustními schopnostmi detekce a reakce, mohou organizace zvýšit svou odolnost proti infekcím typu backdoor a účinně zmírnit související rizika.

Trendy

E-mailový podvod na ochranu účtu

Phishing, Spam
Po prozkoumání výzkumnými pracovníky v oblasti informační bezpečnosti bylo okamžitě zjištěno, že e-maily „Ochrana účtu“ jsou klamavé a jsou součástí phishingového schématu. Primárním cílem těchto podvodných e-mailů je nalákat příjemce k návštěvě phishingové webové stránky určené ke sběru přihlašovacích údajů uživatelů k jejich e-mailovým účtům. E-mailový podvod s ochranou účtu může ohrozit...

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
40,817
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...