Gomir Backdoor

Kimsuky grupa, kas pazīstama arī kā Springtail, ir Advanced Persistent Threat (APT) grupa, kas saistīta ar Ziemeļkorejas Izlūkošanas ģenerālbiroju (RGB). Nesenie novērojumi atklāj, ka viņi ir ieviesuši GoBear backdoor adaptāciju Linux kampaņā, kas paredzēta Dienvidkorejas vienībām.

Šīs aizmugures durvis ar nosaukumu Gomir cieši atspoguļo GoBear struktūru, un tajās ir ievērojama koda pārklāšanās starp abām ļaunprātīgas programmatūras versijām. Proti, Gomiram trūkst GoBear funkcionalitātes, kas ir atkarīgas no konkrētas operētājsistēmas, vai nu vispār nav, vai ir pārkonfigurēta saderībai Linux vidē.

Gomir Backdoor priekštecis ir izmantots, lai nodrošinātu bīstamu ļaunprātīgu programmatūru

2024. gada februāra sākumā pētnieki dokumentēja GoBear parādīšanos saistībā ar kampaņu, kurā tika izplatīta ļaunprātīga programmatūra, kas pazīstama kā Troll Stealer un ko sauc arī par TrollAgent. Turpmāka pēcinfekcijas ļaunprogrammatūras izpēte atklāja līdzības ar tādām Kimsuky ļaundabīgo programmu ģimenēm kā AppleSeed un AlphaSeed.

Turpmākajā analīzē atklājās, ka ļaunprogrammatūra tiek izplatīta, izmantojot trojānizētas drošības programmas, kas iegūtas no vietnes, kas saistīta ar Dienvidkorejas būvniecību saistītu asociāciju, lai gan konkrētā saistība joprojām netiek atklāta. Kompromitētās programmas ietver nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport un WIZVERA VeraPort. Jāatzīmē, ka WIZVERA VeraPort iepriekš bija vērsts uz piegādes ķēdes uzbrukumu, ko veica Lazarus grupa 2020. gadā.

Turklāt tika atzīmēts, ka ļaunprogrammatūra Troll Stealer tiek izplatīta, izmantojot nelikumīgus instalētājus, kas paredzēti Wizvera VeraPort. Tomēr konkrētā metode, kas tiek izmantota šo instalācijas pakotņu izplatīšanai, pašlaik nav zināma.

Gomir Backdoor ir īpaši izstrādāts, lai inficētu Linux sistēmas

GoBear funkciju nosaukumos ir līdzības ar vecāku Springtail aizmugures durvīm ar nosaukumu BetaSeed, kas rakstīts C++ valodā, norādot uz iespējamu kopīgu izcelsmi starp abiem draudiem. Šī ļaunprogrammatūra ir aprīkota ar iespējām izpildīt komandas no attālā servera, un tā tiek izplatīta caur pilinātājiem, kas ir slēpti kā viltoti instalētāji lietojumprogrammai, kas saistīta ar Korejas transporta organizāciju.

Tās Linux variantā Gomir ir 17 komandu komplekts, kas ļauj uzbrucējiem veikt failu darbības, iniciēt reverso starpniekserveri, īslaicīgi apturēt Command-and-Control (C2) sakarus, izpildīt čaulas komandas un pārtraukt savu procesu.

Šī nesenā Kimsuky kampaņa uzsver pāreju uz programmatūras instalēšanas pakotnēm un atjauninājumiem kā vēlamo infekcijas pārnēsātāju Ziemeļkorejas spiegošanas dalībniekiem. Šķiet, ka mērķprogrammatūras izvēle ir rūpīgi pielāgota, lai palielinātu iespējamību inficēt paredzētos Dienvidkorejas mērķus.

Ieviesiet efektīvus pasākumus pret ļaunprātīgas programmatūras uzbrukumiem

Efektīvi pretpasākumi pret aizmugures infekcijām ietver daudzslāņu pieeju, kuras mērķis ir novērst, atklāt un reaģēt. Šeit ir daži paraugprakses piemēri:

• Atjaunināta drošības programmatūra : nodrošiniet, lai visa drošības programmatūra, tostarp ļaunprātīgas programmatūras novēršanas programmas, tiktu regulāri atjaunināta, lai atklātu un noņemtu aizmugures durvis un citus draudus.
• Regulāri programmatūras atjauninājumi : operētājsistēmām, lietojumprogrammām un programmaparatūrai jābūt jaunākajiem drošības ielāpiem, lai mazinātu zināmās ievainojamības, kuras bieži izmanto aizmugures durvis.
• Tīkla segmentēšana : iestatiet tīkla segmentāciju, lai izolētu kritiskās sistēmas un ierobežotu infekciju izplatību, ja ir aizmugures durvis.
• Spēcīga piekļuves kontrole un autentifikācija : ieviesiet spēcīgas paroles, ieviesiet daudzfaktoru autentifikāciju (MFA) un ierobežojiet piekļuves privilēģijas, lai samazinātu nesankcionētas piekļuves iespējas sistēmām.
• Darbinieku apmācība : izglītojiet darbiniekus par sociālās inženierijas taktiku, ko izmanto, lai izvietotu aizmugures durvis, piemēram, pikšķerēšanas e-pastus, un mudiniet viņus nekavējoties ziņot par aizdomīgām darbībām.
• Lietojumprogrammu baltā saraksta iekļaušana : izmantojiet tikai lietojumprogrammu balto sarakstu, lai atļautu palaist apstiprinātas programmas, novēršot nesankcionētas vai ļaunprātīgas programmatūras, tostarp aizmugures durvju, izpildi.
• Uzvedības analīze : izmantojiet rīkus, kas pārrauga sistēmas uzvedību, lai atklātu anomālas darbības, kas liecina par aizmugures durvju infekciju, piemēram, neparedzēti tīkla savienojumi vai failu modifikācijas.
• Regulāras drošības pārbaudes : veiciet regulāras drošības pārbaudes un iespiešanās testus, lai atpazītu un novērstu ievainojamības, ko varētu izmantot aizmugures durvis.
• Dublēšana un atkopšana : ieviesiet regulārus datu dublējumus, kas tiek glabāti neatkarīgā vidē, lai mazinātu aizmugures durvju infekcijas ietekmi un atvieglotu atkopšanu datu zuduma gadījumā.

Pieņemot proaktīvu pieeju, kas apvieno preventīvos pasākumus ar spēcīgām atklāšanas un reaģēšanas iespējām, organizācijas var uzlabot savu noturību pret aizmugures infekcijām un efektīvi mazināt saistītos riskus.