Multi-License Discount Quote
Pangkalan Data Ancaman Backdoors Gomir Backdoor

Gomir Backdoor

Menjelang Mezo pada Backdoors, Advanced Persistent Threat (APT)
Terjemahkan ke
بهاس ملايو

Kumpulan Kimsuky, juga dikenali sebagai Springtail, ialah kumpulan Ancaman Berterusan Lanjutan (APT) yang dikaitkan dengan Biro Am Peninjau (RGB) Korea Utara. Pemerhatian baru-baru ini mendedahkan penggunaan penyesuaian Linux bagi pintu belakang GoBear dalam kempen yang ditujukan kepada entiti Korea Selatan.

Dinamakan Gomir, pintu belakang ini mencerminkan struktur GoBear, yang menampilkan pertindihan kod yang ketara antara kedua-dua versi perisian hasad. Terutama, Gomir tidak mempunyai sebarang fungsi daripada GoBear yang bergantung pada sistem pengendalian tertentu, sama ada tidak hadir sama sekali atau dikonfigurasikan semula untuk keserasian dalam persekitaran Linux.

Pendahulu Gomir Backdoor Telah Digunakan untuk Menyampaikan Perisian Hasad yang Mengancam

Pada awal Februari 2024, penyelidik mendokumentasikan kemunculan GoBear berkaitan dengan kempen yang mengedarkan perisian hasad dikenali sebagai Troll Stealer , juga dipanggil TrollAgent. Pemeriksaan lanjut ke atas perisian hasad pasca jangkitan mendedahkan persamaan dengan keluarga perisian hasad Kimsuky yang ditubuhkan seperti AppleSeed dan AlphaSeed.

Analisis seterusnya mendapati bahawa perisian hasad disebarkan melalui program keselamatan yang ditrojan yang diperoleh daripada tapak web yang dikaitkan dengan persatuan berkaitan pembinaan Korea Selatan, walaupun perkaitan khusus itu masih tidak didedahkan. Program yang terjejas termasuk nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport dan WIZVERA VeraPort. Terutama, WIZVERA VeraPort sebelum ini telah disasarkan dalam serangan rantaian bekalan yang dilakukan oleh Kumpulan Lazarus pada tahun 2020.

Selain itu, telah diperhatikan bahawa perisian hasad Troll Stealer sedang disebarkan melalui pemasang tidak sah yang direka untuk Wizvera VeraPort. Walau bagaimanapun, kaedah khusus yang digunakan untuk mengedarkan pakej pemasangan ini masih tidak diketahui pada masa ini.

Pintu Belakang Gomir Direka Khusus untuk Menjangkiti Sistem Linux

GoBear mempamerkan persamaan dalam nama fungsi dengan pintu belakang Springtail yang lebih lama dipanggil BetaSeed, yang ditulis dalam C++, menunjukkan potensi asal yang sama antara kedua-dua ancaman. Malware ini dilengkapi dengan keupayaan untuk melaksanakan arahan daripada pelayan jauh dan disebarkan melalui penitis yang menyamar sebagai pemasang palsu untuk aplikasi yang dikaitkan dengan organisasi pengangkutan Korea.

Varian Linuxnya, Gomir, mempunyai satu set 17 arahan, memperkasakan penyerang untuk menjalankan operasi fail, memulakan proksi terbalik, menghentikan sementara komunikasi Command-and-Control (C2), melaksanakan arahan shell dan menamatkan prosesnya sendiri.

Kempen Kimsuky baru-baru ini menggariskan peralihan ke arah pakej pemasangan perisian dan kemas kini sebagai vektor jangkitan pilihan untuk pelakon pengintipan Korea Utara. Pemilihan perisian yang disasarkan kelihatan disesuaikan dengan teliti untuk meningkatkan kemungkinan menjangkiti sasaran Korea Selatan yang dimaksudkan.

Laksanakan Langkah Berkesan Terhadap Serangan Perisian Hasad

Tindakan balas yang berkesan terhadap jangkitan pintu belakang melibatkan pendekatan berbilang lapisan yang bertujuan untuk pencegahan, pengesanan dan tindak balas. Berikut ialah beberapa amalan terbaik:

  • Perisian Keselamatan Terkini : Pastikan semua perisian keselamatan, termasuk program anti-perisian hasad, dikemas kini dengan kerap untuk mengesan dan mengalih keluar pintu belakang dan ancaman lain.
  • Kemas Kini Perisian Biasa : Sistem pengendalian, aplikasi dan perisian tegar harus mempunyai tampung keselamatan terkini untuk mengurangkan kelemahan yang diketahui yang sering dieksploitasi oleh pintu belakang.
  • Segmentasi Rangkaian : Sediakan pembahagian rangkaian untuk mengasingkan sistem kritikal dan mengehadkan penyebaran jangkitan jika terdapat pintu belakang.
  • Kawalan dan Pengesahan Capaian Kuat : Menguatkuasakan kata laluan yang kukuh, melaksanakan pengesahan berbilang faktor (MFA) dan menyekat keistimewaan capaian untuk mengurangkan peluang akses tanpa kebenaran kepada sistem.
  • Latihan Pekerja : Didik pekerja tentang taktik kejuruteraan sosial yang digunakan untuk menggunakan pintu belakang, seperti e-mel pancingan data dan menggalakkan mereka melaporkan aktiviti yang mencurigakan dengan segera.
  • Penyenaraian Putih Aplikasi : Gunakan senarai putih aplikasi sahaja untuk membenarkan program yang diluluskan dijalankan, menghalang perisian yang tidak dibenarkan atau berniat jahat, termasuk pintu belakang, daripada dilaksanakan.
  • Analisis Tingkah Laku : Gunakan alat yang memantau tingkah laku sistem untuk aktiviti anomali yang menunjukkan jangkitan pintu belakang, seperti sambungan rangkaian yang tidak dijangka atau pengubahsuaian fail.
  • Audit Keselamatan Berkala : Menjalankan audit keselamatan rutin dan ujian penembusan untuk mengenali dan menangani kelemahan yang boleh dieksploitasi oleh pintu belakang.
  • Sandaran dan Pemulihan : Laksanakan sandaran data biasa yang disimpan dalam persekitaran bebas untuk mengurangkan kesan jangkitan pintu belakang dan memudahkan pemulihan sekiranya berlaku kehilangan data.

Dengan menggunakan pendekatan proaktif yang menggabungkan langkah pencegahan dengan keupayaan pengesanan dan tindak balas yang mantap, organisasi boleh meningkatkan daya tahan mereka terhadap jangkitan pintu belakang dan mengurangkan risiko yang berkaitan dengan berkesan.

Trending

Paling banyak dilihat

Memuatkan...