Gomir Backdoor
A Kimsuky-csoport, más néven Springtail, egy Advanced Persistent Threat (APT) csoport, amely az észak-koreai felderítő hivatalhoz (RGB) kapcsolódik. A legújabb megfigyelések azt mutatják, hogy egy dél-koreai entitásokat célzó kampány keretében bevezették a GoBear hátsó ajtó Linux-adaptációját.
Ez a Gomir névre keresztelt hátsó ajtó szorosan tükrözi a GoBear szerkezetét, és jelentős átfedést tartalmaz a két rosszindulatú program verziója között. Figyelemre méltó, hogy a Gomir nem rendelkezik a GoBear olyan funkcióival, amelyek egy adott operációs rendszertől függnének, vagy teljesen hiányoznak, vagy a Linux környezetben való kompatibilitás érdekében újra vannak konfigurálva.
Tartalomjegyzék
A Gomir Backdoor elődjét fenyegető rosszindulatú programok terjesztésére használták
2024 februárjának elején a kutatók dokumentálták a GoBear megjelenését egy olyan kampány kapcsán, amely a Troll Stealer néven ismert rosszindulatú programokat terjesztette, más néven TrollAgent. A fertőzés utáni rosszindulatú programok további vizsgálata hasonlóságokat tárt fel a Kimsuky rosszindulatú szoftvercsaládokkal, például az AppleSeed-del és az AlphaSeeddel.
A későbbi elemzések feltárták, hogy a kártevő trójai biztonsági programokon keresztül terjed, amelyeket egy dél-koreai építkezéssel kapcsolatos egyesülethez kapcsolódó webhelyről szereztek be, bár a konkrét összefüggést továbbra sem hozták nyilvánosságra. A feltört programok közé tartozik az nProtect Online Security, az NX_PRNMAN, a TrustPKI, az UbiReport és a WIZVERA VeraPort. A WIZVERA VeraPort korábban a Lazarus Group által 2020-ban végrehajtott ellátási lánc támadás célpontja volt.
Ezenkívül megjegyezték, hogy a Troll Stealer kártevőt a Wizvera VeraPorthoz tervezett illegitim telepítők terjesztik. A telepítőcsomagok terjesztésének konkrét módja azonban jelenleg ismeretlen.
A Gomir hátsó ajtót kifejezetten a Linux rendszerek megfertőzésére tervezték
A GoBear függvénynevekben hasonlóságot mutat egy régebbi, BetaSeed nevű Springtail hátsó ajtóval, amely C++ nyelven íródott, jelezve a két fenyegetés lehetséges közös eredetét. Ez a rosszindulatú program olyan képességekkel rendelkezik, hogy parancsokat hajtson végre távoli szerverről, és egy koreai szállítási szervezethez kapcsolódó alkalmazás hamis telepítőjének álcázott csepegtetőkön keresztül terjed.
Linuxos változata, a Gomir, 17 parancsból álló készlettel büszkélkedhet, amelyek felhatalmazzák a támadókat arra, hogy fájlműveleteket hajtsanak végre, fordított proxyt kezdeményezzenek, ideiglenesen leállítsák a Command-and-Control (C2) kommunikációt, végrehajtsák a shell-parancsokat, és leállítsák saját folyamatukat.
Ez a legutóbbi Kimsuky-kampány rávilágít a szoftvertelepítési csomagok és frissítések irányába történő elmozdulásra, mint az észak-koreai kémkedés szereplőinek kedvelt fertőzési vektoraira. A megcélzott szoftverek kiválasztása aprólékosan úgy tűnik, hogy növelje a dél-koreai célpontok megfertőzésének valószínűségét.
Hatékony intézkedések végrehajtása a rosszindulatú támadások ellen
A hátsó ajtók fertőzései elleni hatékony ellenintézkedések többrétegű megközelítést foglalnak magukban, amelynek célja a megelőzés, a felismerés és a reagálás. Íme néhány bevált gyakorlat:
- Naprakész biztonsági szoftver : Gondoskodjon arról, hogy minden biztonsági szoftver, beleértve a kártevőirtó programokat is, rendszeresen frissüljön a hátsó ajtók és egyéb fenyegetések észlelése és eltávolítása érdekében.
- Rendszeres szoftverfrissítések : Az operációs rendszereknek, alkalmazásoknak és firmware-nek rendelkeznie kell a legújabb biztonsági javításokkal, hogy csökkentsék a hátsó ajtók által gyakran kihasznált ismert sebezhetőségeket.
- Hálózati szegmentálás : Hálózati szegmentálás beállítása a kritikus rendszerek elkülönítéséhez és a fertőzések terjedésének korlátozásához, ha van egy hátsó ajtó.
- Erős hozzáférés-ellenőrzés és hitelesítés : Erős jelszavak kényszerítése, többtényezős hitelesítés (MFA) megvalósítása és a hozzáférési jogosultságok korlátozása a rendszerekhez való jogosulatlan hozzáférés lehetőségének csökkentése érdekében.
- Alkalmazotti képzés : Az alkalmazottak oktatása a hátsó ajtók, például az adathalász e-mailek telepítéséhez használt social engineering taktikákról, és ösztönözze őket arra, hogy azonnal jelentsék a gyanús tevékenységeket.
- Alkalmazások engedélyezési listája : Az alkalmazások engedélyezési listáját csak a jóváhagyott programok futtatásának engedélyezéséhez használja, megakadályozva ezzel az illetéktelen vagy rosszindulatú szoftverek, köztük a hátsó ajtók végrehajtását.
- Viselkedéselemzés : olyan eszközöket használjon, amelyek figyelik a rendszer viselkedését a hátsó ajtó fertőzésére utaló rendellenes tevékenységekre, például váratlan hálózati kapcsolatokra vagy fájlmódosításokra.
- Rendszeres biztonsági ellenőrzések : Rutinszerű biztonsági ellenőrzéseket és behatolási teszteket végezzen a hátsó ajtók által kihasználható sebezhetőségek felismerése és kezelése érdekében.
- Biztonsági mentés és helyreállítás : Végezzen rendszeres, független környezetben tárolt adatmentést, hogy csökkentse a hátsó ajtó fertőzésének hatását, és megkönnyítse a helyreállítást adatvesztés esetén.
A megelőző intézkedéseket erőteljes észlelési és reagálási képességekkel kombináló proaktív megközelítéssel a szervezetek fokozhatják a hátsó ajtók fertőzéseivel szembeni ellenálló képességüket, és hatékonyan mérsékelhetik a kapcsolódó kockázatokat.
