Gomir Backdoor

קבוצת Kimsuky, הידועה גם בשם Springtail, היא קבוצת איום מתמשך מתקדם (APT) הקשורה ללשכה הכללית לסיירת צפון קוריאה (RGB). תצפיות אחרונות חושפות את פריסתן של עיבוד לינוקס של הדלת האחורית של GoBear במסגרת מסע פרסום המכוון לגורמים דרום קוריאניים.

בשם Gomir, הדלת האחורית הזו משקפת מקרוב את המבנה של GoBear, וכוללת חפיפה משמעותית של קוד בין שתי גרסאות הזדוניות. יש לציין שלגומיר חסרות כל פונקציונליות מ-GoBear התלויות במערכת הפעלה ספציפית, בין אם היא נעדרת לחלוטין או מוגדרת מחדש לתאימות בתוך סביבת לינוקס.

קודמו של הדלת האחורית של Gomir שימש כדי לספק תוכנה זדונית מאיימת

בתחילת פברואר 2024, חוקרים תיעדו את הופעתו של GoBear בקשר למסע פרסום שהפיץ תוכנות זדוניות המכונה Troll Stealer , הנקרא גם TrollAgent. בדיקה נוספת של התוכנה הזדונית שלאחר ההדבקה גילתה קווי דמיון עם משפחות תוכנות זדוניות מבוססות Kimsuky כגון AppleSeed ו-AlphaSeed.

ניתוח שלאחר מכן חשף כי התוכנה הזדונית מופצת באמצעות תוכניות אבטחה טרויאניות המתקבלות מאתר אינטרנט הקשור לאיגוד דרום קוריאני הקשור לבנייה, אם כי הקשר הספציפי נותר לא ידוע. התוכניות שנפרצו כוללות את nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport ו-WIZVERA VeraPort. יש לציין כי WIZVERA VeraPort הייתה מטרה בעבר במתקפת שרשרת אספקה שבוצעה על ידי קבוצת Lazarus בשנת 2020.

בנוסף, צוין שהתוכנה הזדונית Troll Stealer מופצת באמצעות מתקינים לא לגיטימיים המיועדים ל-Wizvera VeraPort. עם זאת, השיטה הספציפית המשמשת להפצת חבילות התקנה אלו עדיין לא ידועה.

הדלת האחורית של Gomir תוכננה במיוחד כדי להדביק מערכות לינוקס

GoBear מפגין דמיון בשמות הפונקציות לדלת אחורית של Springtail ישנה יותר בשם BetaSeed, שנכתבה ב-C++, מה שמצביע על מקור משותף פוטנציאלי בין שני האיומים. תוכנה זדונית זו מצוידת ביכולות לביצוע פקודות משרת מרוחק ומופצת באמצעות טפטפות המחופשות למתקינים מזויפים עבור אפליקציה הקשורה לארגון תחבורה קוריאני.

גרסת הלינוקס שלו, Gomir, מתהדרת בסט של 17 פקודות, המאפשרות לתוקפים לבצע פעולות קבצים, ליזום פרוקסי הפוך, לעצור זמנית את תקשורת הפקודה והבקרה (C2), לבצע פקודות מעטפת ולסיים את התהליך שלה.

הקמפיין האחרון של Kimsuky מדגיש את המעבר לכיוון של חבילות התקנת תוכנה ועדכונים בתור וקטורי זיהום מועדפים עבור שחקני ריגול צפון קוריאנים. הבחירה של תוכנות ממוקדות נראית מותאמת בקפידה כדי להגביר את הסבירות להדביק מטרות דרום קוריאניות מיועדות.

יישם אמצעים אפקטיביים נגד התקפות תוכנה זדונית

אמצעי נגד יעילים נגד זיהומים בדלת אחורית כוללים גישה רב-שכבתית שמטרתה מניעה, גילוי ותגובה. הנה כמה שיטות עבודה מומלצות:

• תוכנת אבטחה עדכנית : ודא שכל תוכנות האבטחה, כולל תוכנות נגד תוכנות זדוניות, מתעדכנות באופן קבוע כדי לזהות ולהסיר דלתות אחוריות ואיומים אחרים.
• עדכוני תוכנה רגילים : מערכות הפעלה, יישומים וקושחה צריכים להיות עם תיקוני האבטחה העדכניים ביותר כדי לצמצם נקודות תורפה ידועות שדלתות אחוריות מנצלות לעתים קרובות.
• פילוח רשת : הגדר פילוח רשת כדי לבודד מערכות קריטיות ולהגביל את התפשטות הזיהומים אם קיימת דלת אחורית.
• בקרות גישה ואימות חזקות : אכיפת סיסמאות חזקות, הטמעת אימות רב-גורמי (MFA), והגבלת הרשאות גישה כדי לצמצם את ההזדמנויות של גישה לא מורשית למערכות.
• הדרכת עובדים : למד את העובדים על טקטיקות הנדסה חברתית המשמשות לפריסת דלתות אחוריות, כגון הודעות דיוג, ועודדו אותם לדווח על פעילויות חשודות באופן מיידי.
• רשימת היתרים של יישומים : השתמש ברשימת ההיתרים של יישומים רק כדי לאפשר לתוכניות מאושרות לפעול, ולמנוע הפעלת תוכנות לא מורשות או זדוניות, כולל דלתות אחוריות.
• ניתוח התנהגות : השתמש בכלים המנטרים את התנהגות המערכת עבור פעילויות חריגות המעידות על זיהומים בדלת אחורית, כגון חיבורי רשת בלתי צפויים או שינויים בקבצים.
• ביקורת אבטחה רגילה : בצע ביקורת אבטחה שגרתית ובדיקות חדירה כדי לזהות ולטפל בפרצות שעלולות להיות מנוצלות על ידי דלתות אחוריות.
• גיבוי ושחזור : הטמעו גיבויים קבועים של נתונים המאוחסנים בסביבה עצמאית כדי למתן את ההשפעה של זיהום בדלת האחורית ולהקל על התאוששות במקרה של אובדן נתונים.

על ידי אימוץ גישה פרואקטיבית המשלבת אמצעי מניעה עם יכולות זיהוי ותגובה חזקות, ארגונים יכולים לשפר את עמידותם בפני זיהומים בדלת אחורית ולהפחית את הסיכונים הנלווים ביעילות.