Gomir Backdoor
किमसुकी समूह, जसलाई स्प्रिङटेल पनि भनिन्छ, उत्तर कोरियाको रिकोनाइसेन्स जनरल ब्यूरो (RGB) सँग सम्बन्धित एक उन्नत पर्सिस्टेन्ट थ्रेट (APT) समूह हो। हालका अवलोकनहरूले दक्षिण कोरियाली संस्थाहरूलाई लक्षित अभियान भित्र GoBear ब्याकडोरको लिनक्स अनुकूलनको तिनीहरूको तैनाती प्रकट गर्दछ।
गोमिर नाम गरिएको, यो ब्याकडोरले GoBear को संरचनालाई नजिकबाट प्रतिबिम्बित गर्दछ, दुई मालवेयर संस्करणहरू बीचको कोडको महत्त्वपूर्ण ओभरल्याप फिचर गर्दछ। विशेष रूपमा, Gomir सँग GoBear बाट कुनै प्रकार्यताहरू छैनन् जुन एक विशेष अपरेटिङ सिस्टममा निर्भर छन्, या त पूर्ण रूपमा अनुपस्थित वा Linux वातावरण भित्र अनुकूलताको लागि पुन: कन्फिगर गरिएको छ।
सामग्रीको तालिका
गोमिर ब्याकडोरको पूर्ववर्ती धम्कीपूर्ण मालवेयर डेलिभर गर्न प्रयोग गरिएको छ
फेब्रुअरी 2024 को सुरुमा, अन्वेषकहरूले ट्रोल चोर भनेर चिनिने मालवेयर वितरण गर्ने अभियानको सम्बन्धमा GoBear को उदयको दस्तावेजीकरण गरे, जसलाई TrollAgent पनि भनिन्छ। संक्रमणपछिको मालवेयरको थप जाँचले AppleSeed र AlphaSeed जस्ता स्थापित किमसुकी मालवेयर परिवारहरूसँग समानताहरू प्रकट गर्यो।
पछिको विश्लेषणले पत्ता लगायो कि मालवेयर दक्षिण कोरियाली निर्माण-सम्बन्धित संघसँग सम्बन्धित वेबसाइटबाट प्राप्त ट्रोजनाइज्ड सुरक्षा कार्यक्रमहरू मार्फत प्रचार गरिएको छ, यद्यपि विशिष्ट संघ अज्ञात रहन्छ। सम्झौता गरिएका कार्यक्रमहरूमा nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport, र WIZVERA VeraPort समावेश छन्। उल्लेखनीय रूपमा, WIZVERA VeraPort लाई पहिले 2020 मा लाजरस समूह द्वारा गरिएको आपूर्ति श्रृंखला आक्रमणमा लक्षित गरिएको थियो।
थप रूपमा, यो नोट गरिएको छ कि Troll Stealer मालवेयर Wizvera VeraPort को लागि डिजाइन गरिएको अवैध स्थापनाकर्ताहरू मार्फत फैलिएको छ। यद्यपि, यी स्थापना प्याकेजहरू वितरण गर्न प्रयोग गरिएको विशिष्ट विधि हाल अज्ञात रहन्छ।
गोमिर ब्याकडोर विशेष रूपमा लिनक्स प्रणालीहरू संक्रमित गर्न डिजाइन गरिएको हो
GoBear ले फंक्शन नामहरूमा BetaSeed भनिने पुरानो स्प्रिंगटेल ब्याकडोरसँग मिल्दोजुल्दो देखाउँदछ, C++ मा लेखिएको, दुई खतराहरू बीचको सम्भावित साझा उत्पत्तिलाई संकेत गर्दछ। यो मालवेयर रिमोट सर्भरबाट आदेशहरू कार्यान्वयन गर्ने क्षमताहरूसँग सुसज्जित छ र कोरियाली यातायात संगठनसँग सम्बन्धित अनुप्रयोगको लागि नक्कली स्थापनाकर्ताहरूको भेषमा ड्रपरहरू मार्फत फैलिएको छ।
यसको लिनक्स भेरियन्ट, गोमिर, 17 आदेशहरूको सेटको गर्व गर्दछ, आक्रमणकारीहरूलाई फाइल अपरेशनहरू सञ्चालन गर्न, रिभर्स प्रोक्सी प्रारम्भ गर्न, अस्थायी रूपमा कमाण्ड-एन्ड-कन्ट्रोल (C2) सञ्चारहरू रोक्न, शेल आदेशहरू कार्यान्वयन गर्न, र यसको आफ्नै प्रक्रिया समाप्त गर्न सशक्त बनाउँछ।
यो भर्खरको किमसुकी अभियानले उत्तर कोरियाली जासुसी अभिनेताहरूको लागि रुचाइएको संक्रमण भेक्टरको रूपमा सफ्टवेयर स्थापना प्याकेजहरू र अद्यावधिकहरू तिर परिवर्तनलाई जोड दिन्छ। लक्षित सफ्टवेयरको छनोट सावधानीपूर्वक दक्षिण कोरियाली लक्ष्यहरूलाई संक्रमित गर्ने सम्भावना बढाउनको लागि तयार गरिएको देखिन्छ।
मालवेयर आक्रमणहरू विरुद्ध प्रभावकारी उपायहरू लागू गर्नुहोस्
ब्याकडोर संक्रमणहरू विरुद्ध प्रभावकारी काउन्टरमेजरहरूमा रोकथाम, पत्ता लगाउने र प्रतिक्रिया गर्ने उद्देश्यले बहु-स्तरित दृष्टिकोण समावेश हुन्छ। यहाँ केहि उत्कृष्ट अभ्यासहरू छन्:
- अप-टु-डेट सुरक्षा सफ्टवेयर : ब्याकडोर र अन्य खतराहरू पत्ता लगाउन र हटाउन एन्टि-मालवेयर प्रोग्रामहरू सहित सबै सुरक्षा सफ्टवेयरहरू नियमित रूपमा अद्यावधिक गरिएको छ भनी सुनिश्चित गर्नुहोस्।
- नियमित सफ्टवेयर अपडेटहरू : अपरेटिङ सिस्टम, एप्लिकेसनहरू, र फर्मवेयरहरूमा ब्याकडोरहरूले प्राय: शोषण गर्ने ज्ञात कमजोरीहरूलाई कम गर्न नवीनतम सुरक्षा प्याचहरू हुनुपर्छ।
- नेटवर्क विभाजन : महत्वपूर्ण प्रणालीहरू अलग गर्न र पछाडिको ढोका अवस्थित छ भने संक्रमणको फैलावट सीमित गर्न नेटवर्क विभाजन सेटअप गर्नुहोस्।
- बलियो पहुँच नियन्त्रण र प्रमाणीकरण : बलियो पासवर्डहरू लागू गर्नुहोस्, बहु-कारक प्रमाणीकरण (MFA) लागू गर्नुहोस्, र प्रणालीहरूमा अनाधिकृत पहुँचको अवसरहरू कम गर्न पहुँच विशेषाधिकारहरू प्रतिबन्धित गर्नुहोस्।
- कर्मचारी प्रशिक्षण : फिसिङ इमेलहरू जस्ता ब्याकडोरहरू प्रयोग गर्न प्रयोग गरिने सामाजिक ईन्जिनियरिङ् रणनीतिहरू बारे कर्मचारीहरूलाई शिक्षित गर्नुहोस्, र उनीहरूलाई शंकास्पद गतिविधिहरू तुरुन्तै रिपोर्ट गर्न प्रोत्साहित गर्नुहोस्।
- एप्लिकेसन श्वेतसूची : अनुमोदित कार्यक्रमहरू चलाउन अनुमति दिनको लागि मात्र प्रयोग गर्नुहोस्, अनाधिकृत वा खराब सफ्टवेयर, ब्याकडोरहरू सहित, कार्यान्वयन हुनबाट रोक्न।
- व्यवहार विश्लेषण : अप्रत्याशित नेटवर्क जडानहरू वा फाइल परिमार्जनहरू जस्ता ब्याकडोर संक्रमणहरूको संकेत गर्ने असामान्य गतिविधिहरूको लागि प्रणाली व्यवहारको निगरानी गर्ने उपकरणहरू प्रयोग गर्नुहोस्।
- नियमित सुरक्षा अडिटहरू : ब्याकडोरहरूद्वारा शोषण गर्न सकिने कमजोरीहरूलाई पहिचान गर्न र सम्बोधन गर्न नियमित सुरक्षा अडिटहरू र प्रवेश परीक्षणहरू सञ्चालन गर्नुहोस्।
- ब्याकअप र रिकभरी : ब्याकडोर इन्फेक्सनको प्रभावलाई कम गर्न र डाटा हराएको अवस्थामा रिकभरीलाई सहज बनाउन स्वतन्त्र वातावरणमा भण्डारण गरिएका नियमित डाटा ब्याकअपहरू लागू गर्नुहोस्।
बलियो पत्ता लगाउने र प्रतिक्रिया क्षमताहरूसँग रोकथाम उपायहरू संयोजन गर्ने सक्रिय दृष्टिकोण अपनाएर, संगठनहरूले ब्याकडोर संक्रमणहरू विरुद्ध आफ्नो लचिलोपन बढाउन र सम्बन्धित जोखिमहरूलाई प्रभावकारी रूपमा कम गर्न सक्छन्।
