Gomir Backdoor

Grupa Kimsuky, također poznata kao Springtail, grupa je Advanced Persistent Threat (APT) povezana sa Sjevernokorejskim glavnim uredom za izviđanje (RGB). Nedavna promatranja otkrivaju njihovu implementaciju Linux adaptacije GoBear backdoor-a unutar kampanje usmjerene na južnokorejske entitete.

Nazvan Gomir, ovaj backdoor usko odražava strukturu GoBeara, sa značajnim preklapanjem koda između dvije verzije zlonamjernog softvera. Primjetno je da Gomiru nedostaju funkcionalnosti GoBeara koje ovise o određenom operativnom sustavu, ili su potpuno odsutne ili su rekonfigurirane za kompatibilnost unutar Linux okruženja.

Prethodnik Gomir Backdoor-a korišten je za isporuku prijetećeg zlonamjernog softvera

Početkom veljače 2024. istraživači su dokumentirali pojavu GoBeara u vezi s kampanjom koja je distribuirala zlonamjerni softver poznat kao Troll Stealer , koji se također naziva TrollAgent. Daljnje ispitivanje zlonamjernog softvera nakon infekcije otkrilo je sličnosti s uspostavljenim obiteljima zlonamjernog softvera Kimsuky kao što su AppleSeed i AlphaSeed.

Naknadna analiza otkrila je da se zlonamjerni softver širi putem trojaniziranih sigurnosnih programa dobivenih s web stranice povezane s južnokorejskom građevinskom udrugom, iako konkretna povezanost ostaje neotkrivena. Ugroženi programi uključuju nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport i WIZVERA VeraPort. Naime, WIZVERA VeraPort je prethodno bila meta napada na lanac opskrbe koji je izvela Lazarus grupa 2020. godine.

Osim toga, primijećeno je da se zlonamjerni softver Troll Stealer širi putem nelegitimnih programa za instalaciju dizajniranih za Wizvera VeraPort. Međutim, specifična metoda koja se koristi za distribuciju ovih instalacijskih paketa trenutno ostaje nepoznata.

Gomir Backdoor dizajniran je posebno za zarazu Linux sustava

GoBear pokazuje sličnosti u nazivima funkcija sa starijim Springtail backdoorom pod nazivom BetaSeed, napisanim u C++, što ukazuje na potencijalno zajedničko podrijetlo dviju prijetnji. Ovaj zlonamjerni softver opremljen je mogućnostima izvršavanja naredbi s udaljenog poslužitelja i širi se putem droppera prerušenih u krivotvorene programe za instalaciju za aplikaciju povezanu s korejskom transportnom organizacijom.

Njegova Linux varijanta, Gomir, može se pohvaliti skupom od 17 naredbi, koje napadačima daju mogućnost obavljanja operacija datoteka, pokretanja obrnutog proxyja, privremenog zaustavljanja Command-and-Control (C2) komunikacije, izvršavanja naredbi ljuske i prekidanja vlastitog procesa.

Ova nedavna Kimsuky kampanja naglašava pomak prema softverskim instalacijskim paketima i ažuriranjima kao preferiranim vektorima infekcije za sjevernokorejske špijunaže. Odabir ciljanog softvera čini se pomno skrojenim kako bi se povećala vjerojatnost zaraze ciljanih južnokorejskih ciljeva.

Provedite učinkovite mjere protiv napada zlonamjernog softvera

Učinkovite protumjere protiv backdoor infekcija uključuju višeslojni pristup usmjeren na prevenciju, otkrivanje i odgovor. Evo nekoliko najboljih primjera iz prakse:

• Ažurirani sigurnosni softver : Osigurajte da se sav sigurnosni softver, uključujući anti-malware programe, redovito ažurira kako bi se otkrili i uklonili stražnja vrata i druge prijetnje.
• Redovita ažuriranja softvera : Operativni sustavi, aplikacije i firmware trebaju imati najnovije sigurnosne zakrpe za ublažavanje poznatih ranjivosti koje backdoors često iskorištavaju.
• Segmentacija mreže : Postavite segmentaciju mreže za izolaciju kritičnih sustava i ograničavanje širenja infekcija ako su prisutna stražnja vrata.
• Snažne kontrole pristupa i provjera autentičnosti : Nametnite snažne lozinke, implementirajte provjeru autentičnosti s više faktora (MFA) i ograničite privilegije pristupa kako biste smanjili mogućnosti neovlaštenog pristupa sustavima.
• Obuka zaposlenika : educirajte zaposlenike o taktikama društvenog inženjeringa koje se koriste za postavljanje stražnjih vrata, kao što su phishing e-poruke, i potaknite ih da odmah prijave sumnjive aktivnosti.
• Popis dopuštenih aplikacija : Koristite popis dopuštenih aplikacija samo kako biste omogućili pokretanje odobrenih programa, sprječavajući pokretanje neovlaštenog ili zlonamjernog softvera, uključujući stražnja vrata.
• Analiza ponašanja : Upotrijebite alate koji nadziru ponašanje sustava u potrazi za nenormalnim aktivnostima koje ukazuju na backdoor infekcije, kao što su neočekivane mrežne veze ili izmjene datoteka.
• Redovite sigurnosne revizije : Provedite rutinske sigurnosne revizije i testiranje prodora kako biste prepoznali i riješili ranjivosti koje mogu iskoristiti stražnja vrata.
• Sigurnosno kopiranje i oporavak : Provedite redovite sigurnosne kopije podataka pohranjenih u neovisnom okruženju kako biste ublažili utjecaj backdoor infekcije i olakšali oporavak u slučaju gubitka podataka.

Usvajanjem proaktivnog pristupa koji kombinira preventivne mjere sa snažnim mogućnostima otkrivanja i odgovora, organizacije mogu poboljšati svoju otpornost na backdoor infekcije i učinkovito ublažiti povezane rizike.