Gomir Backdoor

Kimsuky-ryhmä, joka tunnetaan myös nimellä Springtail, on Advanced Persistent Threat (APT) -ryhmä, joka liittyy Pohjois-Korean tiedustelutoimistoon (RGB). Viimeaikaiset havainnot paljastavat, että he ottivat käyttöön GoBear-takaoven Linux-sovituksen Etelä-Korean yksiköille suunnatussa kampanjassa.

Tämä Gomir-niminen takaovi heijastaa läheisesti GoBearin rakennetta, ja siinä on merkittävä koodi päällekkäisyys kahden haittaohjelmaversion välillä. Erityisesti Gomirista puuttuu GoBearin toimintoja, jotka riippuvat tietystä käyttöjärjestelmästä, joko puuttuvat kokonaan tai ne on määritetty uudelleen yhteensopiviksi Linux-ympäristössä.

Gomir Backdoorin edeltäjää on käytetty uhkaavien haittaohjelmien toimittamiseen

Helmikuun alussa 2024 tutkijat dokumentoivat GoBearin syntymisen kampanjan yhteydessä, joka levitti Troll Stealer -nimistä haittaohjelmaa, jota kutsutaan myös nimellä TrollAgent. Tartunnan jälkeisten haittaohjelmien lisätutkimus paljasti yhtäläisyyksiä vakiintuneiden Kimsuky-haittaohjelmaperheiden, kuten AppleSeed ja AlphaSeed, kanssa.

Myöhempi analyysi paljasti, että haittaohjelma leviää eteläkorealaiseen rakentamiseen liittyvään yhdistykseen liittyvältä verkkosivustolta saatujen troijalaisten tietoturvaohjelmien kautta, vaikka tarkka yhteys on edelleen paljastamatta. Vaarallisia ohjelmia ovat nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport ja WIZVERA VeraPort. WIZVERA VeraPort oli aiemmin joutunut Lazarus Groupin vuonna 2020 toteuttaman toimitusketjuhyökkäyksen kohteeksi.

Lisäksi on havaittu, että Troll Stealer -haittaohjelmaa levitetään Wizvera VeraPortille suunniteltujen laittomien asennusohjelmien kautta. Näiden asennuspakettien jakeluun käytetty erityinen menetelmä on kuitenkin edelleen tuntematon.

Gomirin takaovi on suunniteltu erityisesti saastuttamaan Linux-järjestelmiä

GoBear muistuttaa funktioiden nimiä vanhemmasta Springtail-takaovesta nimeltä BetaSeed, joka on kirjoitettu C++-kielellä, mikä osoittaa näiden kahden uhan mahdollisen yhteisen alkuperän. Tämä haittaohjelma on varustettu kyvyllä suorittaa komentoja etäpalvelimelta, ja se leviää korealaiseen kuljetusorganisaatioon liittyvän sovelluksen väärennetyiksi asentajiksi naamioitujen droppereiden kautta.

Sen Linux-versio Gomir sisältää 17 komentosarjan, jotka antavat hyökkääjille mahdollisuuden suorittaa tiedostotoimintoja, käynnistää käänteisen välityspalvelimen, pysäyttää väliaikaisesti Command-and-Control (C2) -viestinnän, suorittaa komentotulkkikomentoja ja lopettaa oman prosessinsa.

Tämä äskettäinen Kimsuky-kampanja korostaa siirtymistä kohti ohjelmistojen asennuspaketteja ja päivityksiä pohjoiskorealaisten vakoilutoimijoiden suosituimpana tartuntavektorina. Kohdennettujen ohjelmistojen valinta näyttää olevan huolella räätälöity lisäämään todennäköisyyttä tarttua aiottuihin Etelä-Korean kohteihin.

Ota käyttöön tehokkaita toimenpiteitä haittaohjelmahyökkäyksiä vastaan

Tehokkaat vastatoimenpiteet takaoven infektioita vastaan sisältävät monitasoisen lähestymistavan, jonka tavoitteena on ehkäisy, havaitseminen ja reagointi. Tässä on joitain parhaita käytäntöjä:

• Ajantasainen suojausohjelmisto : Varmista, että kaikki tietoturvaohjelmistot, mukaan lukien haittaohjelmien torjuntaohjelmat, päivitetään säännöllisesti takaovien ja muiden uhkien havaitsemiseksi ja poistamiseksi.
• Säännölliset ohjelmistopäivitykset : Käyttöjärjestelmissä, sovelluksissa ja laiteohjelmistossa tulee olla uusimmat tietoturvakorjaukset, jotka vähentävät tunnettuja haavoittuvuuksia, joita takaovet usein käyttävät hyväkseen.
• Verkon segmentointi : Määritä verkon segmentointi kriittisten järjestelmien eristämiseksi ja tartuntojen leviämisen rajoittamiseksi, jos takaovi on olemassa.
• Vahvat pääsynvalvonta ja todennus : Pakota vahvoja salasanoja, ota käyttöön monitekijätodennus (MFA) ja rajoittaa käyttöoikeuksia järjestelmien luvattoman käytön vähentämiseksi.
• Työntekijöiden koulutus : Kouluta työntekijöitä sosiaalisen manipuloinnin taktiikoista, joita käytetään takaovien, kuten tietojenkalasteluviestien, käyttöönotossa ja rohkaise heitä ilmoittamaan epäilyttävästä toiminnasta viipymättä.
• Sovellusten sallittujen luettelo : Käytä sovellusten sallittujen luetteloa vain salliaksesi hyväksyttyjen ohjelmien suorittamisen ja estääksesi luvattomien tai haittaohjelmien, kuten takaovien, suorittamisen.
• Käyttäytymisanalyysi : Käytä työkaluja, jotka tarkkailevat järjestelmän toimintaa takaoven infektioihin viittaavien poikkeavien toimintojen, kuten odottamattomien verkkoyhteyksien tai tiedostojen muutosten varalta.
• Säännölliset suojaustarkastukset : Suorita rutiinitarkastuksia ja läpäisytestejä tunnistaaksesi ja korjataksesi haavoittuvuudet, joita takaovet voivat hyödyntää.
• Varmuuskopiointi ja palautus : Ota käyttöön säännölliset tietojen varmuuskopiot, jotka on tallennettu riippumattomaan ympäristöön lieventääksesi takaoven tartunnan vaikutusta ja helpottaaksesi palautusta tietojen katoamisen yhteydessä.

Ottamalla käyttöön ennakoivan lähestymistavan, jossa yhdistyvät ennaltaehkäisevät toimenpiteet vankoihin havaitsemis- ja reagointivalmiuksiin, organisaatiot voivat parantaa vastustuskykyään takaoven infektioita vastaan ja vähentää niihin liittyviä riskejä tehokkaasti.