Multi-License Discount Quote
پایگاه داده تهدید Backdoors Gomir Backdoor

Gomir Backdoor

تا Mezo در Backdoors, Advanced Persistent Threat (APT)
ترجمه به:
فارسی

گروه کیمسوکی که به عنوان دم اسپرینگ نیز شناخته می شود، یک گروه تهدید پایدار پیشرفته (APT) است که با اداره کل شناسایی کره شمالی (RGB) مرتبط است. مشاهدات اخیر نشان می‌دهد که آنها یک اقتباس لینوکس از درپشتی GoBear را در یک کمپین با هدف نهادهای کره جنوبی نشان می‌دهند.

این درب پشتی که Gomir نام دارد، ساختار GoBear را به خوبی منعکس می کند و دارای همپوشانی قابل توجهی از کد بین دو نسخه بدافزار است. قابل توجه است که Gomir فاقد هر گونه عملکردی از GoBear است که به یک سیستم عامل خاص وابسته است، یا به طور کلی وجود ندارد یا برای سازگاری در محیط لینوکس پیکربندی مجدد شده است.

سلف Gomir Backdoor برای ارائه بدافزار تهدید کننده استفاده شده است

در اوایل فوریه 2024، محققان ظهور GoBear را در ارتباط با کمپینی که بدافزار معروف به Troll Stealer را که TrollAgent نیز نامیده می‌شود، توزیع می‌کرد، مستند کردند. بررسی بیشتر بدافزار پس از آلودگی، شباهت‌هایی را با خانواده‌های بدافزار Kimsuky مانند AppleSeed و AlphaSeed نشان داد.

تجزیه و تحلیل بعدی نشان داد که این بدافزار از طریق برنامه های امنیتی تروجانی شده به دست آمده از یک وب سایت مرتبط با یک انجمن مرتبط با ساخت و ساز کره جنوبی منتشر می شود، اگرچه ارتباط خاص فاش نشده باقی مانده است. برنامه های در معرض خطر عبارتند از nProtect Online Security، NX_PRNMAN، TrustPKI، UbiReport و WIZVERA VeraPort. قابل ذکر است، WIZVERA VeraPort قبلاً در یک حمله زنجیره تامین که توسط گروه Lazarus در سال 2020 انجام شده بود، هدف قرار گرفته بود.

علاوه بر این، اشاره شده است که بدافزار Troll Stealer از طریق نصب‌کننده‌های غیرقانونی که برای Wizvera VeraPort طراحی شده‌اند، منتشر می‌شود. با این حال، روش خاصی که برای توزیع این بسته‌های نصب استفاده می‌شود در حال حاضر ناشناخته باقی مانده است.

درب پشتی Gomir به طور خاص برای آلوده کردن سیستم های لینوکس طراحی شده است

GoBear شباهت هایی را در نام توابع به یک درب پشتی قدیمی Springtail به نام BetaSeed، که به زبان C++ نوشته شده است، نشان می دهد که نشان دهنده یک منشا مشترک بالقوه بین این دو تهدید است. این بدافزار مجهز به قابلیت اجرای دستورات از یک سرور راه دور است و از طریق قطره چکانی که به عنوان نصب کننده های تقلبی برای یک برنامه مرتبط با یک سازمان حمل و نقل کره ای پنهان شده اند، پخش می شود.

نوع لینوکس آن، Gomir، دارای مجموعه‌ای از 17 فرمان است که به مهاجمان اجازه می‌دهد تا عملیات فایل را انجام دهند، یک پروکسی معکوس را راه‌اندازی کنند، ارتباطات Command-and-Control (C2) را به طور موقت متوقف کنند، دستورات پوسته را اجرا کنند و فرآیند خود را خاتمه دهند.

این کمپین اخیر کیمسوکی بر تغییر به سمت بسته‌های نصب نرم‌افزار و به‌روزرسانی‌ها به‌عنوان ناقل‌های عفونت ترجیحی برای بازیگران جاسوسی کره شمالی تأکید می‌کند. به نظر می‌رسد انتخاب نرم‌افزار هدف‌گذاری شده با دقت طراحی شده است تا احتمال آلوده شدن اهداف مورد نظر کره جنوبی را افزایش دهد.

اقدامات موثر در برابر حملات بدافزار را اجرا کنید

اقدامات متقابل مؤثر در برابر عفونت‌های پشتی شامل یک رویکرد چند لایه با هدف پیشگیری، تشخیص و واکنش است. در اینجا برخی از بهترین شیوه ها وجود دارد:

  • نرم‌افزار امنیتی به‌روز : اطمینان حاصل کنید که همه نرم‌افزارهای امنیتی، از جمله برنامه‌های ضد بدافزار، به‌طور مرتب به‌روزرسانی می‌شوند تا درهای پشتی و سایر تهدیدها را شناسایی و حذف کنید.
  • به‌روزرسانی‌های نرم‌افزار منظم : سیستم‌های عامل، برنامه‌های کاربردی و میان‌افزار باید جدیدترین وصله‌های امنیتی را برای کاهش آسیب‌پذیری‌های شناخته‌شده‌ای داشته باشند که درهای پشتی اغلب از آنها سوءاستفاده می‌کنند.
  • تقسیم‌بندی شبکه : تقسیم‌بندی شبکه را برای جداسازی سیستم‌های حیاتی و محدود کردن گسترش عفونت‌ها در صورت وجود درب پشتی تنظیم کنید.
  • کنترل های دسترسی قوی و احراز هویت : اجرای رمزهای عبور قوی، اجرای احراز هویت چند عاملی (MFA) و محدود کردن امتیازات دسترسی برای کاهش فرصت های دسترسی غیرمجاز به سیستم ها.
  • آموزش کارکنان : به کارمندان در مورد تاکتیک های مهندسی اجتماعی که برای استقرار درهای پشتی، مانند ایمیل های فیشینگ استفاده می شود، آموزش دهید و آنها را تشویق کنید تا فعالیت های مشکوک را به سرعت گزارش کنند.
  • لیست سفید برنامه ها : از لیست سفید برنامه ها فقط برای اجازه دادن به برنامه های تأیید شده برای اجرا استفاده کنید و از اجرای نرم افزارهای غیرمجاز یا مخرب، از جمله درهای پشتی، جلوگیری کنید.
  • تجزیه و تحلیل رفتاری : از ابزارهایی استفاده کنید که رفتار سیستم را برای فعالیت‌های غیرعادی که نشان‌دهنده عفونت‌های درب پشتی هستند، مانند اتصالات شبکه غیرمنتظره یا تغییرات فایل، نظارت می‌کنند.
  • ممیزی های امنیتی منظم : انجام ممیزی های امنیتی معمول و تست نفوذ برای شناسایی و رفع آسیب پذیری هایی که می توانند توسط درهای پشتی مورد سوء استفاده قرار گیرند.
  • پشتیبان‌گیری و بازیابی : از داده‌های پشتیبان‌گیری منظم ذخیره شده در یک محیط مستقل برای کاهش تأثیر عفونت درب پشتی و تسهیل بازیابی در صورت از دست رفتن اطلاعات، استفاده کنید.

با اتخاذ یک رویکرد پیشگیرانه که اقدامات پیشگیرانه را با قابلیت های شناسایی و واکنش قوی ترکیب می کند، سازمان ها می توانند انعطاف پذیری خود را در برابر عفونت های درب پشتی افزایش دهند و خطرات مرتبط را به طور موثر کاهش دهند.

پرطرفدار

حفاظت از حساب ایمیل کلاهبرداری

Phishing, Spam
پس از بررسی محققان امنیت اطلاعات، به سرعت مشخص شد که ایمیل‌های «حفاظت حساب» فریبنده و بخشی از یک طرح فیشینگ هستند. هدف اصلی این ایمیل‌های تقلبی، ترغیب گیرندگان به بازدید از یک وب‌سایت فیشینگ است که برای جمع‌آوری اعتبار ورود کاربران به حساب‌های ایمیل آنها طراحی شده است. کلاهبرداری ایمیل حفاظت از حساب ممکن است اطلاعات حساس کاربر را در معرض خطر قرار دهد این اعلان‌های جعلی به نام اقدامات حفاظتی...

پربیننده ترین

کلاهبرداری ایمیل "جوخه گیک".

Phishing, Spam
40,817
Geek Squad، ارائه دهنده پشتیبانی فنی محبوب، قربانی یک کلاهبرداری فیشینگ به نام Geek Squad Email Scam شده است. این کلاهبرداری با پشتیبانی فنی از ایمیل‌های جعلی استفاده می‌کند که افراد را فریب می‌دهد تا اطلاعات شخصی خود مانند جزئیات کارت اعتباری، آدرس ایمیل و حتی شماره‌های تامین اجتماعی را در اختیار دیگران قرار دهند. در این مقاله، ما در مورد خود کلاهبرداری، ظاهر آن، از کجا ایمیل های جعلی، خواسته...
بارگذاری...