Multi-License Discount Quote
Database delle minacce Backdoors Gomir Backdoor

Gomir Backdoor

Entro Mezo nel Backdoors, Advanced Persistent Threat (APT)
Traduci in:
Italiano

Il gruppo Kimsuky, noto anche come Springtail, è un gruppo Advanced Persistent Threat (APT) associato al Reconnaissance General Bureau (RGB) della Corea del Nord. Recenti osservazioni rivelano l'implementazione di un adattamento Linux della backdoor GoBear all'interno di una campagna rivolta alle entità sudcoreane.

Chiamata Gomir, questa backdoor rispecchia fedelmente la struttura di GoBear, caratterizzata da una significativa sovrapposizione di codice tra le due versioni del malware. In particolare, Gomir non dispone di alcuna funzionalità di GoBear che dipenda da uno specifico sistema operativo, essendo del tutto assente o riconfigurata per la compatibilità con l'ambiente Linux.

Il predecessore della backdoor Gomir è stato utilizzato per diffondere malware minaccioso

All'inizio di febbraio 2024, i ricercatori hanno documentato la comparsa di GoBear in relazione a una campagna che distribuiva malware noto come Troll Stealer , chiamato anche TrollAgent. Un ulteriore esame del malware post-infezione ha rivelato somiglianze con le famiglie di malware Kimsuky affermate come AppleSeed e AlphaSeed.

Un'analisi successiva ha rivelato che il malware viene propagato attraverso programmi di sicurezza contenenti trojan ottenuti da un sito Web associato a un'associazione sudcoreana impegnata nel settore edile, sebbene l'associazione specifica rimanga sconosciuta. I programmi compromessi includono nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort. In particolare, WIZVERA VeraPort era stata precedentemente presa di mira in un attacco alla catena di approvvigionamento effettuato dal Gruppo Lazarus nel 2020.

Inoltre, è stato notato che il malware Troll Stealer viene diffuso tramite programmi di installazione illegittimi progettati per Wizvera VeraPort. Tuttavia, il metodo specifico utilizzato per distribuire questi pacchetti di installazione rimane attualmente sconosciuto.

La backdoor Gomir è progettata specificamente per infettare i sistemi Linux

GoBear mostra somiglianze nei nomi delle funzioni con una vecchia backdoor Springtail chiamata BetaSeed, scritta in C++, indicando una potenziale origine comune tra le due minacce. Questo malware è dotato della capacità di eseguire comandi da un server remoto e si diffonde tramite dropper camuffati da programmi di installazione contraffatti per un'applicazione associata a un'organizzazione di trasporti coreana.

La sua variante Linux, Gomir, vanta una serie di 17 comandi, che consentono agli aggressori di condurre operazioni sui file, avviare un proxy inverso, interrompere temporaneamente le comunicazioni Command-and-Control (C2), eseguire comandi shell e terminare il proprio processo.

Questa recente campagna di Kimsuky sottolinea lo spostamento verso pacchetti di installazione e aggiornamenti software come vettori di infezione preferiti per gli attori dello spionaggio nordcoreano. La selezione del software mirato sembra meticolosamente adattata per aumentare la probabilità di infettare gli obiettivi sudcoreani previsti.

Implementare misure efficaci contro gli attacchi malware

Contromisure efficaci contro le infezioni backdoor implicano un approccio a più livelli mirato alla prevenzione, rilevamento e risposta. Ecco alcune best practice:

  • Software di sicurezza aggiornato : garantire che tutto il software di sicurezza, compresi i programmi antimalware, venga aggiornato regolarmente per rilevare e rimuovere backdoor e altre minacce.
  • Aggiornamenti software regolari : i sistemi operativi, le applicazioni e il firmware dovrebbero disporre delle patch di sicurezza più recenti per mitigare le vulnerabilità note spesso sfruttate dai backdoor.
  • Segmentazione della rete : imposta la segmentazione della rete per isolare i sistemi critici e limitare la diffusione delle infezioni se è presente una backdoor.
  • Autenticazione e controlli di accesso efficaci : applica password complesse, implementa l'autenticazione a più fattori (MFA) e limita i privilegi di accesso per ridurre le opportunità di accesso non autorizzato ai sistemi.
  • Formazione dei dipendenti : istruire i dipendenti sulle tattiche di ingegneria sociale utilizzate per implementare backdoor, come le e-mail di phishing, e incoraggiarli a segnalare tempestivamente attività sospette.
  • Whitelist delle applicazioni : utilizzare la whitelist delle applicazioni solo per consentire l'esecuzione dei programmi approvati, impedendo l'esecuzione di software non autorizzato o dannoso, inclusi backdoor.
  • Analisi comportamentale : utilizza strumenti che monitorano il comportamento del sistema per attività anomale indicative di infezioni backdoor, come connessioni di rete impreviste o modifiche ai file.
  • Controlli di sicurezza regolari : condurre controlli di sicurezza di routine e test di penetrazione per riconoscere e affrontare le vulnerabilità che potrebbero essere sfruttate dalle backdoor.
  • Backup e ripristino : implementa backup regolari dei dati archiviati in un ambiente indipendente per mitigare l'impatto di un'infezione backdoor e facilitare il ripristino in caso di perdita di dati.

Adottando un approccio proattivo che combina misure preventive con solide capacità di rilevamento e risposta, le organizzazioni possono migliorare la propria resilienza contro le infezioni backdoor e mitigare efficacemente i rischi associati.

Tendenza

I più visti

Caricamento in corso...