Gomir Bagdør

Kimsuky-gruppen, også kendt som Springtail, er en Advanced Persistent Threat (APT) gruppe tilknyttet Nordkoreas Reconnaissance General Bureau (RGB). Nylige observationer afslører deres implementering af en Linux-tilpasning af GoBear-bagdøren i en kampagne rettet mod sydkoreanske enheder.

Denne bagdør, der hedder Gomir, afspejler tæt GoBears struktur, og den byder på en betydelig overlapning af kode mellem de to malwareversioner. Især mangler Gomir enhver funktionalitet fra GoBear, der er afhængig af et specifikt operativsystem, enten helt fraværende eller omkonfigureret til kompatibilitet i Linux-miljøet.

Gomir-bagdørens forgænger er blevet brugt til at levere truende malware

I begyndelsen af februar 2024 dokumenterede forskere fremkomsten af GoBear i forbindelse med en kampagne, der distribuerede malware kendt som Troll Stealer , også kaldet TrollAgent. Yderligere undersøgelse af post-infektion malware afslørede ligheder med etablerede Kimsuky malware familier såsom AppleSeed og AlphaSeed.

Efterfølgende analyse afslørede, at malwaren spredes gennem trojaniserede sikkerhedsprogrammer, der er opnået fra et websted, der er forbundet med en sydkoreansk konstruktionsrelateret sammenslutning, selvom den specifikke forbindelse forbliver uoplyst. De kompromitterede programmer omfatter nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport og WIZVERA VeraPort. Navnlig var WIZVERA VeraPort tidligere blevet ramt af et forsyningskædeangreb udført af Lazarus Group i 2020.

Derudover er det blevet bemærket, at Troll Stealer-malwaren spredes gennem illegitime installatører designet til Wizvera VeraPort. Den specifikke metode, der bruges til at distribuere disse installationspakker, er dog stadig ukendt.

Gomir-bagdøren er designet specifikt til at inficere Linux-systemer

GoBear udviser ligheder i funktionsnavne med en ældre Springtail-bagdør kaldet BetaSeed, skrevet i C++, hvilket indikerer en potentiel fælles oprindelse mellem de to trusler. Denne malware er udstyret med evner til at udføre kommandoer fra en fjernserver og spredes gennem droppere, der er forklædt som falske installatører til en applikation, der er tilknyttet en koreansk transportorganisation.

Dens Linux-variant, Gomir, kan prale af et sæt på 17 kommandoer, der giver angriberne mulighed for at udføre filoperationer, starte en omvendt proxy, midlertidigt standse Command-and-Control (C2) kommunikation, udføre shell-kommandoer og afslutte sin egen proces.

Denne nylige Kimsuky-kampagne understreger skiftet i retning af softwareinstallationspakker og opdateringer som foretrukne infektionsvektorer for nordkoreanske spionageaktører. Udvælgelsen af målrettet software ser ud til at være omhyggeligt skræddersyet til at øge sandsynligheden for at inficere påtænkte sydkoreanske mål.

Implementer effektive foranstaltninger mod malwareangreb

Effektive modforanstaltninger mod bagdørsinfektioner involverer en flerlagstilgang rettet mod forebyggelse, påvisning og respons. Her er nogle bedste fremgangsmåder:

• Opdateret sikkerhedssoftware : Sørg for, at al sikkerhedssoftware, inklusive anti-malware-programmer, opdateres regelmæssigt for at opdage og fjerne bagdøre og andre trusler.
• Regelmæssige softwareopdateringer : Operativsystemer, applikationer og firmware bør have de nyeste sikkerhedsrettelser for at afbøde kendte sårbarheder, som bagdøre ofte udnytter.
• Netværkssegmentering : Opsæt netværkssegmentering for at isolere kritiske systemer og begrænse spredningen af infektioner, hvis en bagdør er til stede.
• Stærk adgangskontrol og godkendelse : Håndhæv stærke adgangskoder, implementer multifaktorautentificering (MFA) og begræns adgangsrettigheder for at reducere mulighederne for uautoriseret adgang til systemer.
• Medarbejdertræning : Undervis medarbejderne om social engineering-taktik, der bruges til at implementere bagdøre, såsom phishing-e-mails, og opmuntre dem til at rapportere mistænkelige aktiviteter omgående.
• Applikationshvidlistning : Brug kun applikationshvidlisting for at tillade godkendte programmer at køre, hvilket forhindrer uautoriseret eller ondsindet software, inklusive bagdøre, i at køre.
• Adfærdsanalyse : Anvend værktøjer, der overvåger systemadfærd for unormale aktiviteter, der indikerer bagdørsinfektioner, såsom uventede netværksforbindelser eller filændringer.
• Regelmæssige sikkerhedsaudits : Udfør rutinemæssige sikkerhedsaudits og penetrationstest for at genkende og adressere sårbarheder, der kunne udnyttes af bagdøre.
• Sikkerhedskopiering og gendannelse : Implementer regelmæssige sikkerhedskopier af data, der er gemt i et uafhængigt miljø for at afbøde virkningen af en bagdørsinfektion og lette gendannelsen i tilfælde af datatab.

Ved at vedtage en proaktiv tilgang, der kombinerer forebyggende foranstaltninger med robuste detektions- og reaktionsevner, kan organisationer øge deres modstandsdygtighed mod bagdørsinfektioner og reducere de tilknyttede risici effektivt.