Gomir Backdoor

किमसुकी समूह, जिसे स्प्रिंगटेल के नाम से भी जाना जाता है, एक एडवांस्ड पर्सिस्टेंट थ्रेट (APT) समूह है जो उत्तर कोरिया के टोही जनरल ब्यूरो (RGB) से जुड़ा हुआ है। हाल ही में किए गए अवलोकनों से पता चलता है कि दक्षिण कोरियाई संस्थाओं को लक्षित करने वाले अभियान के भीतर गोबियर बैकडोर के लिनक्स अनुकूलन की तैनाती की गई है।

गोमिर नामक यह बैकडोर गोबियर की संरचना को बारीकी से दर्शाता है, जिसमें दो मैलवेयर संस्करणों के बीच कोड का एक महत्वपूर्ण ओवरलैप है। विशेष रूप से, गोमिर में गोबियर की कोई भी कार्यक्षमता नहीं है जो किसी विशिष्ट ऑपरेटिंग सिस्टम पर निर्भर है, या तो पूरी तरह से अनुपस्थित है या लिनक्स वातावरण के भीतर संगतता के लिए पुन: कॉन्फ़िगर किया गया है।

Gomir Backdoor के पूर्ववर्ती का उपयोग खतरनाक मैलवेयर वितरित करने के लिए किया गया है

फरवरी 2024 की शुरुआत में, शोधकर्ताओं ने ट्रोल स्टीलर नामक मैलवेयर वितरित करने वाले अभियान के संबंध में गोबियर के उद्भव का दस्तावेजीकरण किया, जिसे ट्रोलएजेंट भी कहा जाता है। संक्रमण के बाद के मैलवेयर की आगे की जांच से पता चला कि यह एप्पलसीड और अल्फासीड जैसे स्थापित किमसुकी मैलवेयर परिवारों के साथ समानता रखता है।

बाद के विश्लेषण से पता चला कि मैलवेयर दक्षिण कोरियाई निर्माण-संबंधित एसोसिएशन से जुड़ी एक वेबसाइट से प्राप्त ट्रोजनाइज्ड सुरक्षा कार्यक्रमों के माध्यम से प्रचारित किया जाता है, हालांकि विशिष्ट एसोसिएशन अभी भी अज्ञात है। समझौता किए गए कार्यक्रमों में nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport और WIZVERA VeraPort शामिल हैं। उल्लेखनीय रूप से, WIZVERA VeraPort को पहले 2020 में लाजरस ग्रुप द्वारा किए गए आपूर्ति श्रृंखला हमले में लक्षित किया गया था।

इसके अतिरिक्त, यह भी पाया गया है कि ट्रोल स्टीलर मैलवेयर को विजवेरा वेरापोर्ट के लिए डिज़ाइन किए गए अवैध इंस्टॉलर के माध्यम से फैलाया जा रहा है। हालाँकि, इन इंस्टॉलेशन पैकेजों को वितरित करने के लिए इस्तेमाल की जाने वाली विशिष्ट विधि अभी भी अज्ञात है।

गोमिर बैकडोर विशेष रूप से लिनक्स सिस्टम को संक्रमित करने के लिए डिज़ाइन किया गया है

GoBear में फ़ंक्शन नामों में बीटासीड नामक एक पुराने स्प्रिंगटेल बैकडोर के समान समानताएँ हैं, जिसे C++ में लिखा गया है, जो दोनों खतरों के बीच संभावित सामान्य उत्पत्ति को दर्शाता है। यह मैलवेयर रिमोट सर्वर से कमांड निष्पादित करने की क्षमताओं से लैस है और एक कोरियाई परिवहन संगठन से जुड़े एप्लिकेशन के लिए नकली इंस्टॉलर के रूप में प्रच्छन्न ड्रॉपर के माध्यम से फैलता है।

इसका लिनक्स संस्करण, गोमिर, 17 कमांडों का एक सेट समेटे हुए है, जो हमलावरों को फ़ाइल संचालन करने, रिवर्स प्रॉक्सी आरंभ करने, कमांड-एंड-कंट्रोल (सी2) संचार को अस्थायी रूप से रोकने, शेल कमांड निष्पादित करने और अपनी स्वयं की प्रक्रिया को समाप्त करने की शक्ति प्रदान करता है।

हाल ही में किमसुकी अभियान ने उत्तर कोरियाई जासूसी अभिनेताओं के लिए संक्रमण के पसंदीदा वैक्टर के रूप में सॉफ़्टवेयर इंस्टॉलेशन पैकेज और अपडेट की ओर बदलाव को रेखांकित किया है। लक्षित सॉफ़्टवेयर का चयन दक्षिण कोरियाई लक्ष्यों को संक्रमित करने की संभावना को बढ़ाने के लिए सावधानीपूर्वक किया गया प्रतीत होता है।

मैलवेयर हमलों के विरुद्ध प्रभावी उपाय लागू करें

बैकडोर संक्रमण के खिलाफ़ प्रभावी प्रतिवाद में रोकथाम, पता लगाने और प्रतिक्रिया के उद्देश्य से बहु-स्तरीय दृष्टिकोण शामिल है। यहाँ कुछ सर्वोत्तम अभ्यास दिए गए हैं:

• अद्यतन सुरक्षा सॉफ्टवेयर : सुनिश्चित करें कि एंटी-मैलवेयर प्रोग्राम सहित सभी सुरक्षा सॉफ्टवेयर को नियमित रूप से अद्यतन किया जाता है ताकि बैकडोर और अन्य खतरों का पता लगाया जा सके और उन्हें हटाया जा सके।
• नियमित सॉफ्टवेयर अपडेट : ऑपरेटिंग सिस्टम, एप्लिकेशन और फर्मवेयर में नवीनतम सुरक्षा पैच होने चाहिए ताकि ज्ञात कमजोरियों को कम किया जा सके, जिनका अक्सर बैकडोर द्वारा फायदा उठाया जाता है।
• नेटवर्क विभाजन : महत्वपूर्ण प्रणालियों को अलग करने और यदि कोई बैकडोर मौजूद है तो संक्रमण के प्रसार को सीमित करने के लिए नेटवर्क विभाजन स्थापित करें।
• सशक्त पहुंच नियंत्रण और प्रमाणीकरण : सशक्त पासवर्ड लागू करें, बहु-कारक प्रमाणीकरण (एमएफए) लागू करें, तथा सिस्टम तक अनधिकृत पहुंच के अवसरों को कम करने के लिए पहुंच विशेषाधिकारों को प्रतिबंधित करें।
• कर्मचारी प्रशिक्षण : कर्मचारियों को फ़िशिंग ईमेल जैसे बैकडोर को तैनात करने के लिए उपयोग की जाने वाली सामाजिक इंजीनियरिंग रणनीति के बारे में शिक्षित करें, और उन्हें संदिग्ध गतिविधियों की तुरंत रिपोर्ट करने के लिए प्रोत्साहित करें।
• अनुप्रयोग श्वेतसूचीकरण : अनुप्रयोग श्वेतसूचीकरण का उपयोग केवल अनुमोदित प्रोग्रामों को चलाने के लिए करें, तथा अनधिकृत या दुर्भावनापूर्ण सॉफ़्टवेयरों, जिनमें बैकडोर भी शामिल हैं, को चलने से रोकें।
• व्यवहार विश्लेषण : ऐसे उपकरणों का उपयोग करें जो अप्रत्याशित नेटवर्क कनेक्शन या फ़ाइल संशोधन जैसे बैकडोर संक्रमणों के संकेत देने वाली असामान्य गतिविधियों के लिए सिस्टम व्यवहार की निगरानी करते हैं।
• नियमित सुरक्षा ऑडिट : उन कमजोरियों को पहचानने और उनका समाधान करने के लिए नियमित सुरक्षा ऑडिट और प्रवेश परीक्षण का संचालन करें, जिनका पिछले दरवाजे से फायदा उठाया जा सकता है।
• बैकअप और रिकवरी : बैकडोर संक्रमण के प्रभाव को कम करने और डेटा हानि की स्थिति में रिकवरी को सुविधाजनक बनाने के लिए एक स्वतंत्र वातावरण में संग्रहीत नियमित डेटा बैकअप को कार्यान्वित करें।

निवारक उपायों को मजबूत पहचान और प्रतिक्रिया क्षमताओं के साथ संयोजित करने वाले सक्रिय दृष्टिकोण को अपनाकर, संगठन पिछले दरवाजे से होने वाले संक्रमणों के प्रति अपनी तन्यकता बढ़ा सकते हैं और इससे जुड़े जोखिमों को प्रभावी ढंग से कम कर सकते हैं।