Gomir Backdoor

Kimsuky rühmitus, tuntud ka kui Springtail, on rühmitus Advanced Persistent Threat (APT), mis on seotud Põhja-Korea luure peabürooga (RGB). Hiljutised tähelepanekud näitavad, et Lõuna-Korea üksustele suunatud kampaania raames on kasutusele võetud GoBeari tagaukse Linuxi kohandamine.

Gomiriks nimetatud tagauks peegeldab täpselt GoBeari struktuuri, sisaldades kahe pahavaraversiooni koodi olulist kattumist. Nimelt puuduvad Gomiril GoBeari funktsioonid, mis sõltuvad konkreetsest operatsioonisüsteemist, kas puuduvad üldse või on Linuxi keskkonnas ühilduvuse jaoks ümber konfigureeritud.

Gomiri tagaukse eelkäijat on kasutatud ähvardava pahavara edastamiseks

2024. aasta veebruari alguses dokumenteerisid teadlased GoBeari esilekerkimise seoses kampaaniaga, mis levitas pahavara, mida tuntakse nime all Troll Stealer , mida nimetatakse ka TrollAgentiks. Nakatumisejärgse pahavara edasine uurimine näitas sarnasusi väljakujunenud Kimsuky pahavaraperekondadega, nagu AppleSeed ja AlphaSeed.

Hilisem analüüs paljastas, et pahavara levib Lõuna-Korea ehitusega seotud ühendusega seotud veebisaidilt saadud troojastatud turvaprogrammide kaudu, kuigi konkreetne seos jääb avalikustamata. Ohustatud programmide hulka kuuluvad nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport ja WIZVERA VeraPort. Eelkõige oli WIZVERA VeraPort varem olnud Lazaruse grupi tarneahela rünnaku sihtmärgiks 2020. aastal.

Lisaks on täheldatud, et Troll Stealeri pahavara levitatakse Wizvera VeraPorti jaoks loodud ebaseaduslike installijate kaudu. Nende installipakettide levitamiseks kasutatav konkreetne meetod on aga praegu teadmata.

Gomiri tagauks on loodud spetsiaalselt Linuxi süsteemide nakatamiseks

GoBearil on funktsioonide nimed sarnasused vanema Springtaili tagauksega BetaSeed, mis on kirjutatud C++ keeles, mis viitab võimalikule ühisele päritolule kahe ohu vahel. See pahavara on varustatud võimalustega täita kaugserverist tulevaid käske ja see levib Korea transpordiorganisatsiooniga seotud rakenduse võltsitud installijatena maskeeritud tilgutite kaudu.

Selle Linuxi variant Gomir sisaldab 17 käsukomplekti, mis võimaldavad ründajatel teha failitoiminguid, algatada pöördpuhverserverit, ajutiselt peatada Command-and-Control (C2) side, täita shellisikäske ja lõpetada oma protsess.

See hiljutine Kimsuky kampaania rõhutab üleminekut tarkvara installipakettide ja värskenduste poole, mis on Põhja-Korea spionaažis osalejate eelistatud nakkusvektorid. Sihttarkvara valik näib olevat täpselt kohandatud eesmärgiga suurendada Lõuna-Korea sihtmärkide nakatamise tõenäosust.

Rakendage tõhusaid meetmeid pahavara rünnakute vastu

Tõhusad vastumeetmed tagaukse nakkuste vastu hõlmavad mitmekihilist lähenemist, mille eesmärk on ennetamine, avastamine ja reageerimine. Siin on mõned parimad tavad.

• Ajakohane turbetarkvara : tagage, et kogu turbetarkvara, sealhulgas pahavaratõrjeprogramme, värskendataks regulaarselt, et tuvastada ja eemaldada tagauksi ja muid ohte.
• Regulaarsed tarkvaravärskendused : operatsioonisüsteemidel, rakendustel ja püsivaral peaksid olema uusimad turvapaigad, et leevendada teadaolevaid turvaauke, mida tagauksed sageli ära kasutavad.
• Võrgu segmenteerimine : seadistage võrgu segmenteerimine, et isoleerida kriitilised süsteemid ja piirata nakkuste levikut tagaukse olemasolul.
• Tugev juurdepääsukontroll ja autentimine : jõustage tugevaid paroole, rakendage mitmefaktorilist autentimist (MFA) ja piirake juurdepääsuõigusi, et vähendada volitamata juurdepääsu võimalusi süsteemidele.
• Töötajate koolitus : õpetage töötajaid tagauste (nt andmepüügimeilid) juurutamiseks kasutatavate sotsiaalse manipuleerimise taktikate kohta ja julgustage neid kahtlastest tegevustest kohe teatama.
• Rakenduste valgesse loendisse lisamine : kasutage rakenduste valgesse loendisse lisamist ainult selleks, et lubada heakskiidetud programmidel käitada, vältides volitamata või pahatahtliku tarkvara, sealhulgas tagaukse, käivitamist.
• Käitumise analüüs : kasutage tööriistu, mis jälgivad süsteemi käitumist tagaukse nakkustele viitavate anomaalsete tegevuste, näiteks ootamatute võrguühenduste või failimuudatuste suhtes.
• Regulaarsed turvaauditid : viige läbi rutiinseid turbeauditeid ja läbitungimisteste, et tuvastada ja kõrvaldada haavatavused, mida tagauksed võivad ära kasutada.
• Varundamine ja taastamine : tehke regulaarseid andmete varukoopiaid, mis on salvestatud sõltumatusse keskkonda, et leevendada tagaukse nakatumise mõju ja hõlbustada andmete kadumise korral taastamist.

Kasutades ennetavat lähenemisviisi, mis ühendab ennetavad meetmed tugeva avastamis- ja reageerimisvõimega, saavad organisatsioonid suurendada oma vastupanuvõimet tagaukse nakkuste vastu ja nendega seotud riske tõhusalt maandada.