Gomir Backdoor

Kimsuky-gruppen, også kjent som Springtail, er en Advanced Persistent Threat (APT) gruppe tilknyttet Nord-Koreas Reconnaissance General Bureau (RGB). Nylige observasjoner avslører deres distribusjon av en Linux-tilpasning av GoBear-bakdøren i en kampanje rettet mot sørkoreanske enheter.

Denne bakdøren, kalt Gomir, gjenspeiler tett strukturen til GoBear, med en betydelig overlapping av kode mellom de to malwareversjonene. Spesielt mangler Gomir noen funksjonalitet fra GoBear som er avhengig av et spesifikt operativsystem, enten helt fraværende eller rekonfigurert for kompatibilitet i Linux-miljøet.

Gomir-bakdørens forgjenger har blitt brukt til å levere truende skadelig programvare

Tidlig i februar 2024 dokumenterte forskere fremveksten av GoBear i forbindelse med en kampanje som distribuerte skadevare kjent som Troll Stealer , også kalt TrollAgent. Ytterligere undersøkelse av skadelig programvare etter infeksjon avslørte likheter med etablerte Kimsuky-skadevarefamilier som AppleSeed og AlphaSeed.

Etterfølgende analyse avdekket at skadelig programvare spres gjennom trojaniserte sikkerhetsprogrammer hentet fra et nettsted knyttet til en sørkoreansk konstruksjonsrelatert forening, selv om den spesifikke foreningen forblir ukjent. De kompromitterte programmene inkluderer nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport og WIZVERA VeraPort. Spesielt var WIZVERA VeraPort tidligere målrettet i et forsyningskjedeangrep utført av Lazarus Group i 2020.

I tillegg har det blitt lagt merke til at Troll Stealer malware blir spredt gjennom illegitime installatører designet for Wizvera VeraPort. Imidlertid er den spesifikke metoden som brukes for å distribuere disse installasjonspakkene foreløpig ukjent.

Gomir-bakdøren er designet spesielt for å infisere Linux-systemer

GoBear viser likheter i funksjonsnavn med en eldre Springtail-bakdør kalt BetaSeed, skrevet i C++, noe som indikerer en potensiell felles opprinnelse mellom de to truslene. Denne skadelige programvaren er utstyrt med muligheter til å utføre kommandoer fra en ekstern server og spres gjennom droppere som er forkledd som falske installatører for en applikasjon tilknyttet en koreansk transportorganisasjon.

Linux-varianten, Gomir, har et sett med 17 kommandoer, som gir angriperne mulighet til å utføre filoperasjoner, starte en omvendt proxy, midlertidig stoppe Command-and-Control (C2) kommunikasjon, utføre skallkommandoer og avslutte sin egen prosess.

Denne nylige Kimsuky-kampanjen understreker skiftet mot programvareinstallasjonspakker og oppdateringer som foretrukne infeksjonsvektorer for nordkoreanske spionasjeaktører. Utvalget av målrettet programvare ser ut til å være omhyggelig skreddersydd for å øke sannsynligheten for å infisere tiltenkte sørkoreanske mål.

Implementer effektive tiltak mot skadelig programvareangrep

Effektive mottiltak mot bakdørsinfeksjoner innebærer en flerlags tilnærming rettet mot forebygging, deteksjon og respons. Her er noen beste fremgangsmåter:

• Oppdatert sikkerhetsprogramvare : Sørg for at all sikkerhetsprogramvare, inkludert anti-malware-programmer, oppdateres regelmessig for å oppdage og fjerne bakdører og andre trusler.
• Regelmessige programvareoppdateringer : Operativsystemer, applikasjoner og fastvare bør ha de nyeste sikkerhetsoppdateringene for å redusere kjente sårbarheter som bakdører ofte utnytter.
• Nettverkssegmentering : Sett opp nettverkssegmentering for å isolere kritiske systemer og begrense spredningen av infeksjoner hvis en bakdør er tilstede.
• Sterk tilgangskontroll og autentisering : Håndhev sterke passord, implementer multifaktorautentisering (MFA) og begrense tilgangsrettigheter for å redusere mulighetene for uautorisert tilgang til systemer.
• Opplæring av ansatte : Lær ansatte om sosial ingeniørtaktikk som brukes til å distribuere bakdører, for eksempel phishing-e-poster, og oppmuntre dem til å rapportere mistenkelige aktiviteter umiddelbart.
• Applikasjonshvitelisting : Bruk apphvitelisting kun for å tillate godkjente programmer å kjøre, og hindre uautorisert eller ondsinnet programvare, inkludert bakdører, fra å kjøre.
• Atferdsanalyse : Bruk verktøy som overvåker systematferd for unormale aktiviteter som indikerer bakdørsinfeksjoner, for eksempel uventede nettverkstilkoblinger eller filendringer.
• Regelmessige sikkerhetsrevisjoner : Gjennomfør rutinemessige sikkerhetsrevisjoner og penetrasjonstesting for å gjenkjenne og adressere sårbarheter som kan utnyttes av bakdører.
• Sikkerhetskopiering og gjenoppretting : Implementer regelmessige sikkerhetskopier av data lagret i et uavhengig miljø for å redusere virkningen av en bakdørsinfeksjon og forenkle gjenoppretting i tilfelle tap av data.

Ved å ta i bruk en proaktiv tilnærming som kombinerer forebyggende tiltak med robuste deteksjons- og responsevner, kan organisasjoner forbedre sin motstandsdyktighet mot bakdørsinfeksjoner og redusere de tilknyttede risikoene effektivt.