Multi-License Discount Quote
Grėsmių duomenų bazė Backdoors Gomir Backdoor

Gomir Backdoor

Autorius Mezo, Backdoors, Advanced Persistent Threat (APT)
Versti į:
Lietuvių

„Kimsuky“ grupė, dar žinoma kaip „Springtail“, yra „Advanced Persistent Threat“ (APT) grupė, susijusi su Šiaurės Korėjos generaliniu žvalgybos biuru (RGB). Naujausi stebėjimai atskleidžia, kad Pietų Korėjos subjektams skirtoje kampanijoje buvo įdiegta „GoBear“ užpakalinių durų „Linux“ adaptacija.

Šios užpakalinės durys, pavadintos Gomir, glaudžiai atspindi „GoBear“ struktūrą ir pasižymi dideliu dviejų kenkėjiškų programų versijų kodo sutapimu. Pažymėtina, kad Gomir neturi jokių „GoBear“ funkcijų, kurios priklauso nuo konkrečios operacinės sistemos, arba jos visai nėra, arba jos yra iš naujo sukonfigūruotos, kad būtų suderinamos „Linux“ aplinkoje.

„Gomir Backdoor“ pirmtakas buvo naudojamas pavojingai kenkėjiškai programai pristatyti

2024 m. vasario mėn. pradžioje mokslininkai dokumentavo „GoBear“ atsiradimą, susijusį su kampanija, kuria buvo platinama kenkėjiška programa, žinoma kaip „Troll Stealer“ , dar vadinama „TrollAgent“. Tolesnis kenkėjiškų programų po užsikrėtimo tyrimas atskleidė panašumus su nusistovėjusiomis Kimsuky kenkėjiškų programų šeimomis, tokiomis kaip AppleSeed ir AlphaSeed.

Vėlesnė analizė atskleidė, kad kenkėjiška programa platinama per Trojanizuotas saugumo programas, gautas iš svetainės, susijusios su Pietų Korėjos statybų asociacija, nors konkreti sąsaja lieka neatskleista. Pažeistos programos apima „nProtect Online Security“, „NX_PRNMAN“, „TrustPKI“, „UbiReport“ ir „WIZVERA VeraPort“. Pažymėtina, kad WIZVERA VeraPort anksčiau buvo taikinys per tiekimo grandinės ataką, kurią 2020 m. surengė „Lazarus Group“.

Be to, buvo pastebėta, kad „Troll Stealer“ kenkėjiška programa platinama per neteisėtus „Wizvera VeraPort“ įdiegiklius. Tačiau konkretus šių diegimo paketų platinimo būdas šiuo metu nežinomas.

Gomir Backdoor yra specialiai sukurta užkrėsti Linux sistemas

„GoBear“ funkcijų pavadinimai yra panašūs į senesnę „Springtail“ užpakalinę duris, pavadintą „BetaSeed“, parašytą C++ kalba, nurodant galimą bendrą šių dviejų grėsmių kilmę. Ši kenkėjiška programa yra aprūpinta galimybėmis vykdyti komandas iš nuotolinio serverio ir yra platinama per lašintuvus, paslėptus kaip suklastotais programos, susijusios su Korėjos transporto organizacija, diegimo įrenginiais.

Jos Linux variantas Gomir gali pasigirti 17 komandų rinkiniu, leidžiančiu užpuolikams atlikti failų operacijas, inicijuoti atvirkštinį tarpinį serverį, laikinai sustabdyti komandų ir valdymo (C2) ryšius, vykdyti apvalkalo komandas ir nutraukti savo procesą.

Ši naujausia „Kimsuky“ kampanija pabrėžia perėjimą prie programinės įrangos diegimo paketų ir naujinimų, kaip pirmenybę teikiančių Šiaurės Korėjos šnipinėjimo veikėjų infekcijos pernešėjų. Atrodo, kad tikslinės programinės įrangos pasirinkimas yra kruopščiai pritaikytas siekiant padidinti tikimybę užkrėsti numatytus Pietų Korėjos taikinius.

Įdiekite veiksmingas priemones prieš kenkėjiškų programų atakas

Veiksmingos kovos su užpakalinių durų infekcijomis priemonės apima daugiasluoksnį metodą, skirtą prevencijai, aptikimui ir atsakui. Štai keletas geriausios praktikos pavyzdžių:

  • Naujausia saugos programinė įranga : užtikrinkite, kad visa saugos programinė įranga, įskaitant apsaugos nuo kenkėjiškų programų programas, būtų reguliariai atnaujinama, kad būtų aptiktos ir pašalintos užpakalinės durys ir kitos grėsmės.
  • Reguliarūs programinės įrangos naujinimai : operacinėse sistemose, programose ir programinėje įrangoje turi būti naujausi saugos pataisymai, siekiant sumažinti žinomus pažeidžiamumus, kuriuos dažnai išnaudoja užpakalinės durys.
  • Tinklo segmentavimas : nustatykite tinklo segmentavimą, kad atskirtumėte svarbias sistemas ir apribotumėte infekcijų plitimą, jei yra užpakalinės durys.
  • Stiprus prieigos valdymas ir autentifikavimas : Įveskite stiprius slaptažodžius, įgyvendinkite kelių veiksnių autentifikavimą (MFA) ir apribokite prieigos teises, kad sumažintumėte neteisėtos prieigos prie sistemų galimybes.
  • Darbuotojų mokymas : mokykite darbuotojus apie socialinės inžinerijos taktiką, naudojamą užpakalinėms durims, pvz., sukčiavimo el. laiškams, diegti, ir paskatinkite juos nedelsiant pranešti apie įtartiną veiklą.
  • Programų įtraukimas į baltąjį sąrašą : naudokite programų įtraukimą į baltąjį sąrašą tik tam, kad leistumėte paleisti patvirtintas programas ir neleistumėte vykdyti neteisėtos ar kenkėjiškos programinės įrangos, įskaitant užpakalines duris.
  • Elgsenos analizė : naudokite įrankius, kurie stebi sistemos elgseną dėl anomalios veiklos, rodančios užpakalinių durų infekciją, pvz., netikėtus tinklo ryšius ar failų pakeitimus.
  • Reguliarūs saugos auditai : atlikite įprastus saugos auditus ir įsiskverbimo testus, kad atpažintumėte ir pašalintumėte pažeidžiamumą, kurį gali išnaudoti užpakalinės durys.
  • Atsarginis kopijavimas ir atkūrimas : Įdiekite reguliarias duomenų atsargines kopijas, saugomas nepriklausomoje aplinkoje, kad sumažintumėte užpakalinių durų infekcijos poveikį ir palengvintumėte atkūrimą praradus duomenis.

Taikydamos aktyvų požiūrį, kuris derina prevencines priemones su patikimomis aptikimo ir reagavimo galimybėmis, organizacijos gali padidinti savo atsparumą užpakalinėms infekcijoms ir veiksmingai sumažinti susijusią riziką.

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
40,817
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...