Gomir Backdoor

ក្រុម Kimsuky ដែលត្រូវបានគេស្គាល់ថា Springtail គឺជាក្រុម Advanced Persistent Threat (APT) ដែលជាប់ទាក់ទងជាមួយការិយាល័យ Reconnaissance General Bureau (RGB) របស់ប្រទេសកូរ៉េខាងជើង។ ការសង្កេតនាពេលថ្មីៗនេះបង្ហាញពីការដាក់ពង្រាយលីនុចនៃការសម្របខ្លួនរបស់ GoBear backdoor នៅក្នុងយុទ្ធនាការមួយដែលមានគោលបំណងទៅលើអង្គភាពកូរ៉េខាងត្បូង។

ដែលមានឈ្មោះថា Gomir ទ្វារខាងក្រោយនេះឆ្លុះបញ្ចាំងយ៉ាងជិតស្និទ្ធនូវរចនាសម្ព័នរបស់ GoBear ដោយបង្ហាញពីការត្រួតស៊ីគ្នាយ៉ាងសំខាន់នៃកូដរវាងកំណែមេរោគទាំងពីរ។ គួរកត់សម្គាល់ថា Gomir ខ្វះមុខងារណាមួយពី GoBear ដែលពឹងផ្អែកលើប្រព័ន្ធប្រតិបត្តិការជាក់លាក់មួយ ទាំងអវត្តមានទាំងស្រុង ឬកំណត់រចនាសម្ព័ន្ធឡើងវិញសម្រាប់ភាពឆបគ្នានៅក្នុងបរិស្ថានលីនុច។

អ្នកកាន់តំណែងមុនរបស់ Gomir Backdoor ត្រូវបានប្រើដើម្បីចែកចាយមេរោគដែលគំរាមកំហែង

នៅដើមខែកុម្ភៈ ឆ្នាំ 2024 អ្នកស្រាវជ្រាវបានចងក្រងឯកសារអំពីការលេចឡើងនៃ GoBear ទាក់ទងនឹងយុទ្ធនាការដែលចែកចាយមេរោគដែលគេស្គាល់ថា Troll Stealer ដែលហៅថា TrollAgent ផងដែរ។ ការពិនិត្យបន្ថែមនៃមេរោគក្រោយឆ្លងមេរោគបានបង្ហាញពីភាពស្រដៀងគ្នាជាមួយក្រុមគ្រួសារមេរោគ Kimsuky ដែលបានបង្កើតឡើងដូចជា AppleSeed និង AlphaSeed។

ការវិភាគជាបន្តបន្ទាប់បានរកឃើញថាមេរោគត្រូវបានផ្សព្វផ្សាយតាមរយៈកម្មវិធីសុវត្ថិភាព trojanized ដែលទទួលបានពីគេហទំព័រដែលមានទំនាក់ទំនងជាមួយសមាគមដែលទាក់ទងនឹងការសាងសង់របស់កូរ៉េខាងត្បូង ទោះបីជាសមាគមជាក់លាក់នៅតែមិនបង្ហាញក៏ដោយ។ កម្មវិធីដែលត្រូវបានសម្របសម្រួលរួមមាន nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport និង WIZVERA VeraPort ។ គួរកត់សម្គាល់ថា WIZVERA VeraPort ពីមុនត្រូវបានគេកំណត់គោលដៅក្នុងការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលធ្វើឡើងដោយ Lazarus Group ក្នុងឆ្នាំ 2020។

លើសពីនេះទៀត វាត្រូវបានគេកត់សម្គាល់ថាមេរោគ Troll Stealer កំពុងត្រូវបានផ្សព្វផ្សាយតាមរយៈកម្មវិធីដំឡើងខុសច្បាប់ដែលត្រូវបានរចនាឡើងសម្រាប់ Wizvera VeraPort ។ ទោះយ៉ាងណាក៏ដោយ វិធីសាស្រ្តជាក់លាក់ដែលត្រូវបានប្រើដើម្បីចែកចាយកញ្ចប់ដំឡើងទាំងនេះនៅតែមិនទាន់ដឹងនៅឡើយ។

Gomir Backdoor ត្រូវបានរចនាឡើងជាពិសេសដើម្បីឆ្លងប្រព័ន្ធលីនុច

GoBear បង្ហាញពីភាពស្រដៀងគ្នានៃឈ្មោះមុខងារទៅនឹង Backdoor Springtail ចាស់ដែលហៅថា BetaSeed ដែលបានសរសេរនៅក្នុង C++ ដែលបង្ហាញពីប្រភពដើមទូទៅដែលមានសក្តានុពលរវាងការគំរាមកំហែងទាំងពីរ។ មេរោគនេះត្រូវបានបំពាក់ដោយសមត្ថភាពក្នុងការប្រតិបត្តិពាក្យបញ្ជាពីម៉ាស៊ីនមេពីចម្ងាយ ហើយត្រូវបានរីករាលដាលតាមរយៈឧបករណ៍ទម្លាក់ ដែលក្លែងធ្វើជាកម្មវិធីដំឡើងក្លែងក្លាយសម្រាប់កម្មវិធីដែលពាក់ព័ន្ធជាមួយអង្គការដឹកជញ្ជូនកូរ៉េ។

វ៉ារ្យ៉ង់លីនុចរបស់វា Gomir មានសំណុំនៃពាក្យបញ្ជាចំនួន 17 ដែលផ្តល់សិទ្ធិអំណាចដល់អ្នកវាយប្រហារដើម្បីធ្វើប្រតិបត្តិការឯកសារ ចាប់ផ្តើមប្រូកស៊ីបញ្ច្រាស បញ្ឈប់ការទំនាក់ទំនង Command-and-Control (C2) ជាបណ្តោះអាសន្ន ប្រតិបត្តិពាក្យបញ្ជាសែល និងបញ្ចប់ដំណើរការរបស់វាផ្ទាល់។

យុទ្ធនាការ Kimsuky នាពេលថ្មីៗនេះ គូសបញ្ជាក់ពីការផ្លាស់ប្តូរឆ្ពោះទៅរកកញ្ចប់ដំឡើងកម្មវិធី និងការអាប់ដេតជាវ៉ិចទ័រឆ្លងដែលពេញចិត្តសម្រាប់តួអង្គចារកម្មកូរ៉េខាងជើង។ ការជ្រើសរើសកម្មវិធីដែលបានកំណត់គោលដៅហាក់ដូចជាត្រូវបានកែសម្រួលយ៉ាងល្អិតល្អន់ ដើម្បីបង្កើនលទ្ធភាពនៃការឆ្លងមេរោគគោលដៅរបស់កូរ៉េខាងត្បូង។

អនុវត្តវិធានការដ៏មានប្រសិទ្ធភាពប្រឆាំងនឹងការវាយប្រហារមេរោគ

វិធានការទប់ទល់ប្រកបដោយប្រសិទ្ធភាពប្រឆាំងនឹងការឆ្លងមេរោគតាមទ្វារក្រោយ ពាក់ព័ន្ធនឹងវិធីសាស្រ្តពហុស្រទាប់ ដែលសំដៅលើការការពារ ការរកឃើញ និងការឆ្លើយតប។ នេះគឺជាការអនុវត្តល្អបំផុតមួយចំនួន៖

• កម្មវិធីសុវត្ថិភាពទាន់សម័យ ៖ ត្រូវប្រាកដថាកម្មវិធីសុវត្ថិភាពទាំងអស់ រួមទាំងកម្មវិធីប្រឆាំងមេរោគត្រូវបានអាប់ដេតជាទៀងទាត់ ដើម្បីស្វែងរក និងលុប backdoors និងការគំរាមកំហែងផ្សេងទៀត។
• ការអាប់ដេតកម្មវិធីធម្មតា ៖ ប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងកម្មវិធីបង្កប់គួរតែមានបំណះសុវត្ថិភាពចុងក្រោយបង្អស់ ដើម្បីកាត់បន្ថយភាពងាយរងគ្រោះដែលគេស្គាល់ថា backdoors ជារឿយៗកេងប្រវ័ញ្ច។
• ការបែងចែកបណ្តាញ ៖ រៀបចំការបែងចែកបណ្តាញដើម្បីដាច់ដោយឡែកពីប្រព័ន្ធសំខាន់ៗ និងកំណត់ការរីករាលដាលនៃការឆ្លងមេរោគ ប្រសិនបើ backdoor មានវត្តមាន។
• ការត្រួតពិនិត្យការចូលប្រើខ្លាំង និងការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ៖ ពង្រឹងពាក្យសម្ងាត់ខ្លាំង អនុវត្តការផ្ទៀងផ្ទាត់ពហុកត្តា (MFA) និងរឹតបន្តឹងសិទ្ធិចូលប្រើប្រាស់ ដើម្បីកាត់បន្ថយឱកាសនៃការចូលប្រើប្រព័ន្ធដែលមិនមានការអនុញ្ញាត។
• ការបណ្តុះបណ្តាលបុគ្គលិក ៖ អប់រំបុគ្គលិកអំពីយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដែលប្រើដើម្បីដាក់ពង្រាយ backdoors ដូចជា email phishing និងលើកទឹកចិត្តឱ្យពួកគេរាយការណ៍ពីសកម្មភាពគួរឱ្យសង្ស័យភ្លាមៗ។
• ការដាក់បញ្ជីសកម្មវិធី ៖ ប្រើបញ្ជីសកម្មវិធីតែប៉ុណ្ណោះ ដើម្បីអនុញ្ញាតឱ្យកម្មវិធីដែលបានអនុម័តដំណើរការ ការពារកម្មវិធីដែលគ្មានការអនុញ្ញាត ឬព្យាបាទ រួមទាំង backdoors ពីការប្រតិបត្តិ។
• ការវិភាគអាកប្បកិរិយា ៖ ប្រើប្រាស់ឧបករណ៍ដែលត្រួតពិនិត្យឥរិយាបថប្រព័ន្ធសម្រាប់សកម្មភាពខុសប្រក្រតីដែលបង្ហាញពីការឆ្លងមេរោគនៅខាងក្រោយ ដូចជាការភ្ជាប់បណ្តាញដែលមិនបានរំពឹងទុក ឬការកែប្រែឯកសារ។
• សវនកម្មសុវត្ថិភាពជាប្រចាំ ៖ ធ្វើសវនកម្មសុវត្ថិភាពជាប្រចាំ និងការធ្វើតេស្តការជ្រៀតចូល ដើម្បីទទួលស្គាល់ និងដោះស្រាយភាពងាយរងគ្រោះដែលអាចត្រូវបានកេងប្រវ័ញ្ចដោយ backdoors ។
• ការបម្រុងទុក និងការស្តារឡើងវិញ ៖ អនុវត្តការបម្រុងទុកទិន្នន័យជាប្រចាំដែលរក្សាទុកក្នុងបរិយាកាសឯករាជ្យ ដើម្បីកាត់បន្ថយផលប៉ះពាល់នៃការឆ្លងមេរោគនៅខាងក្រោយ និងជួយសម្រួលដល់ការស្តារឡើងវិញក្នុងករណីបាត់បង់ទិន្នន័យ។

តាមរយៈការអនុម័តវិធីសាស្រ្តសកម្មដែលរួមបញ្ចូលគ្នានូវវិធានការបង្ការជាមួយនឹងការរកឃើញ និងសមត្ថភាពឆ្លើយតបដ៏រឹងមាំ អង្គការនានាអាចបង្កើនភាពធន់របស់ពួកគេប្រឆាំងនឹងការឆ្លងតាមផ្ទះ និងកាត់បន្ថយហានិភ័យដែលពាក់ព័ន្ធប្រកបដោយប្រសិទ្ធភាព។