Gomir Backdoor

Η ομάδα Kimsuky, γνωστή και ως Springtail, είναι μια ομάδα Advanced Persistent Threat (APT) που σχετίζεται με το Γενικό Γραφείο Αναγνώρισης της Βόρειας Κορέας (RGB). Πρόσφατες παρατηρήσεις αποκαλύπτουν την ανάπτυξη μιας προσαρμογής Linux της κερκόπορτας GoBear σε μια καμπάνια που απευθύνεται σε νοτιοκορεατικές οντότητες.

Με το όνομα Gomir, αυτή η κερκόπορτα αντικατοπτρίζει στενά τη δομή του GoBear, με σημαντική επικάλυψη κώδικα μεταξύ των δύο εκδόσεων κακόβουλου λογισμικού. Σημειωτέον, το Gomir στερείται λειτουργιών από το GoBear που εξαρτώνται από ένα συγκεκριμένο λειτουργικό σύστημα, είτε απουσιάζει εντελώς είτε έχει αναδιαμορφωθεί για συμβατότητα στο περιβάλλον Linux.

Ο προκάτοχος του Gomir Backdoor έχει χρησιμοποιηθεί για την παροχή απειλητικού κακόβουλου λογισμικού

Στις αρχές Φεβρουαρίου 2024, οι ερευνητές τεκμηρίωσαν την εμφάνιση του GoBear σε σχέση με μια καμπάνια που διένειμε κακόβουλο λογισμικό γνωστό ως Troll Stealer , που ονομάζεται επίσης TrollAgent. Περαιτέρω εξέταση του κακόβουλου λογισμικού μετά τη μόλυνση αποκάλυψε ομοιότητες με καθιερωμένες οικογένειες κακόβουλου λογισμικού Kimsuky όπως το AppleSeed και το AlphaSeed.

Η ανάλυση που ακολούθησε αποκάλυψε ότι το κακόβουλο λογισμικό διαδίδεται μέσω trojanized προγραμμάτων ασφαλείας που λαμβάνονται από έναν ιστότοπο που σχετίζεται με μια ένωση σχετική με τις κατασκευές της Νότιας Κορέας, αν και η συγκεκριμένη συσχέτιση παραμένει άγνωστη. Τα παραβιασμένα προγράμματα περιλαμβάνουν τα nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport και WIZVERA VeraPort. Συγκεκριμένα, το WIZVERA VeraPort είχε προηγουμένως στοχοποιηθεί σε επίθεση με αλυσίδα εφοδιασμού που πραγματοποιήθηκε από τον Όμιλο Lazarus το 2020.

Επιπλέον, έχει σημειωθεί ότι το κακόβουλο λογισμικό Troll Stealer διαδίδεται μέσω παράνομων προγραμμάτων εγκατάστασης που έχουν σχεδιαστεί για το Wizvera VeraPort. Ωστόσο, η συγκεκριμένη μέθοδος που χρησιμοποιείται για τη διανομή αυτών των πακέτων εγκατάστασης παραμένει προς το παρόν άγνωστη.

Το Gomir Backdoor έχει σχεδιαστεί ειδικά για να μολύνει συστήματα Linux

Το GoBear παρουσιάζει ομοιότητες στα ονόματα των συναρτήσεων με μια παλαιότερη κερκόπορτα Springtail που ονομάζεται BetaSeed, γραμμένη σε C++, υποδεικνύοντας μια πιθανή κοινή προέλευση μεταξύ των δύο απειλών. Αυτό το κακόβουλο λογισμικό είναι εξοπλισμένο με δυνατότητες εκτέλεσης εντολών από έναν απομακρυσμένο διακομιστή και διαδίδεται μέσω σταγονόμετρα που είναι μεταμφιεσμένα ως πλαστά προγράμματα εγκατάστασης για μια εφαρμογή που σχετίζεται με έναν κορεατικό οργανισμό μεταφορών.

Η παραλλαγή του Linux, Gomir, μπορεί να υπερηφανεύεται για ένα σύνολο 17 εντολών, που δίνουν τη δυνατότητα στους εισβολείς να διεξάγουν λειτουργίες αρχείων, να ξεκινούν έναν αντίστροφο διακομιστή μεσολάβησης, να διακόπτουν προσωρινά τις επικοινωνίες Command-and-Control (C2), να εκτελούν εντολές φλοιού και να τερματίζουν τη δική τους διαδικασία.

Αυτή η πρόσφατη καμπάνια Kimsuky υπογραμμίζει τη στροφή προς τα πακέτα εγκατάστασης λογισμικού και τις ενημερώσεις ως προτιμώμενους φορείς μόλυνσης για τους Βορειοκορεάτες κατασκοπευτικούς φορείς. Η επιλογή του στοχευμένου λογισμικού φαίνεται σχολαστικά προσαρμοσμένη για να ενισχύσει την πιθανότητα μόλυνσης των επιδιωκόμενων στόχων της Νότιας Κορέας.

Εφαρμογή αποτελεσματικών μέτρων κατά των επιθέσεων κακόβουλου λογισμικού

Τα αποτελεσματικά αντίμετρα κατά των λοιμώξεων από κερκόπορτα περιλαμβάνουν μια πολυεπίπεδη προσέγγιση που στοχεύει στην πρόληψη, τον εντοπισμό και την απόκριση. Ακολουθούν ορισμένες βέλτιστες πρακτικές:

• Ενημερωμένο λογισμικό ασφαλείας : Βεβαιωθείτε ότι όλο το λογισμικό ασφαλείας, συμπεριλαμβανομένων των προγραμμάτων κατά του κακόβουλου λογισμικού, ενημερώνεται τακτικά για τον εντοπισμό και την αφαίρεση κερκόπορτων και άλλων απειλών.
• Τακτικές ενημερώσεις λογισμικού : Τα λειτουργικά συστήματα, οι εφαρμογές και το υλικολογισμικό θα πρέπει να διαθέτουν τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας για τον μετριασμό των γνωστών τρωτών σημείων που συχνά εκμεταλλεύονται τα backdoors.
• Τμηματοποίηση δικτύου : Ρυθμίστε την τμηματοποίηση δικτύου για να απομονώσετε κρίσιμα συστήματα και να περιορίσετε την εξάπλωση μολύνσεων εάν υπάρχει κερκόπορτα.
• Ισχυροί έλεγχοι πρόσβασης και έλεγχος ταυτότητας : Επιβάλετε ισχυρούς κωδικούς πρόσβασης, εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και περιορίστε τα δικαιώματα πρόσβασης για να μειώσετε τις ευκαιρίες μη εξουσιοδοτημένης πρόσβασης στα συστήματα.
• Εκπαίδευση εργαζομένων : Εκπαιδεύστε τους υπαλλήλους σχετικά με τις τακτικές κοινωνικής μηχανικής που χρησιμοποιούνται για την ανάπτυξη κερκόπορτων, όπως μηνύματα ηλεκτρονικού ψαρέματος, και ενθαρρύνετέ τους να αναφέρουν έγκαιρα ύποπτες δραστηριότητες.
• Λευκή λίστα εφαρμογών : Χρησιμοποιήστε τη λίστα επιτρεπόμενων εφαρμογών μόνο για να επιτρέψετε την εκτέλεση εγκεκριμένων προγραμμάτων, αποτρέποντας την εκτέλεση μη εξουσιοδοτημένου ή κακόβουλου λογισμικού, συμπεριλαμβανομένων των κερκόπορτων.
• Ανάλυση συμπεριφοράς : Χρησιμοποιήστε εργαλεία που παρακολουθούν τη συμπεριφορά του συστήματος για ανώμαλες δραστηριότητες ενδεικτικές μολύνσεων από κερκόπορτα, όπως απροσδόκητες συνδέσεις δικτύου ή τροποποιήσεις αρχείων.
• Τακτικοί έλεγχοι ασφαλείας : Διεξάγετε ελέγχους ρουτίνας ασφαλείας και δοκιμές διείσδυσης για να αναγνωρίσετε και να αντιμετωπίσετε τρωτά σημεία που θα μπορούσαν να εκμεταλλευτούν τα backdoors.
• Δημιουργία αντιγράφων ασφαλείας και ανάκτηση : Εφαρμόστε τακτικά αντίγραφα ασφαλείας δεδομένων που είναι αποθηκευμένα σε ανεξάρτητο περιβάλλον για να μειώσετε τον αντίκτυπο μιας μόλυνσης από την κερκόπορτα και να διευκολύνετε την ανάκτηση σε περίπτωση απώλειας δεδομένων.

Με την υιοθέτηση μιας προληπτικής προσέγγισης που συνδυάζει προληπτικά μέτρα με ισχυρές δυνατότητες ανίχνευσης και απόκρισης, οι οργανισμοί μπορούν να ενισχύσουν την ανθεκτικότητά τους έναντι των μολύνσεων από κερκόπορτα και να μετριάσουν αποτελεσματικά τους σχετικούς κινδύνους.