Gomir Backdoor

Tegen Mezo in Backdoors, Advanced Persistent Threat (APT)

Vertalen naar:

De Kimsuky-groep, ook bekend als Springtail, is een Advanced Persistent Threat (APT)-groep die verbonden is aan het Noord-Koreaanse Reconnaissance General Bureau (RGB). Recente observaties onthullen hun inzet van een Linux-aanpassing van de GoBear-achterdeur binnen een campagne gericht op Zuid-Koreaanse entiteiten.

Deze achterdeur, genaamd Gomir, weerspiegelt nauw de structuur van GoBear, met een aanzienlijke overlap van code tussen de twee malwareversies. Opvallend is dat Gomir alle functionaliteiten van GoBear ontbeert die afhankelijk zijn van een specifiek besturingssysteem, hetzij geheel afwezig, hetzij opnieuw geconfigureerd voor compatibiliteit binnen de Linux-omgeving.

Inhoudsopgave

De voorganger van de Gomir Backdoor is gebruikt om bedreigende malware te leveren

Begin februari 2024 documenteerden onderzoekers de opkomst van GoBear in verband met een campagne die malware verspreidde die bekend staat als Troll Stealer , ook wel TrollAgent genoemd. Nader onderzoek van de post-infectie-malware bracht overeenkomsten aan het licht met gevestigde Kimsuky-malwarefamilies zoals AppleSeed en AlphaSeed.

Uit een daaropvolgende analyse bleek dat de malware wordt verspreid via trojan-beveiligingsprogramma's die zijn verkregen van een website die is geassocieerd met een Zuid-Koreaanse bouwgerelateerde vereniging, hoewel de specifieke vereniging niet openbaar wordt gemaakt. De gecompromitteerde programma's omvatten nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport en WIZVERA VeraPort. Met name WIZVERA VeraPort was eerder het doelwit van een supply chain-aanval uitgevoerd door de Lazarus Group in 2020.

Bovendien is opgemerkt dat de Troll Stealer-malware wordt verspreid via illegale installatieprogramma's die zijn ontworpen voor Wizvera VeraPort. De specifieke methode die wordt gebruikt om deze installatiepakketten te distribueren, is momenteel echter nog onbekend.

De Gomir Backdoor is speciaal ontworpen om Linux-systemen te infecteren

GoBear vertoont qua functienamen overeenkomsten met een oudere Springtail-achterdeur genaamd BetaSeed, geschreven in C++, wat wijst op een mogelijke gemeenschappelijke oorsprong tussen de twee bedreigingen. Deze malware is uitgerust met mogelijkheden om opdrachten uit te voeren vanaf een externe server en wordt verspreid via droppers die zijn vermomd als namaakinstallatieprogramma's voor een applicatie die is gekoppeld aan een Koreaanse transportorganisatie.

De Linux-variant, Gomir, beschikt over een set van 17 commando's, waarmee de aanvallers bestandsbewerkingen kunnen uitvoeren, een reverse proxy kunnen initiëren, Command-and-Control (C2)-communicatie tijdelijk kunnen stopzetten, shell-commando's kunnen uitvoeren en het eigen proces kunnen beëindigen.

Deze recente Kimsuky-campagne onderstreept de verschuiving naar software-installatiepakketten en -updates als favoriete infectievectoren voor Noord-Koreaanse spionageactoren. De selectie van gerichte software lijkt nauwgezet op maat te zijn gemaakt om de kans op het infecteren van beoogde Zuid-Koreaanse doelwitten te vergroten.

Implementeer effectieve maatregelen tegen malware-aanvallen

Effectieve tegenmaatregelen tegen achterdeurinfecties omvatten een meerlaagse aanpak gericht op preventie, detectie en respons. Hier zijn enkele best practices:

Up-to-date beveiligingssoftware : Zorg ervoor dat alle beveiligingssoftware, inclusief anti-malwareprogramma's, regelmatig wordt bijgewerkt om backdoors en andere bedreigingen te detecteren en te verwijderen.
Regelmatige software-updates : besturingssystemen, applicaties en firmware moeten de nieuwste beveiligingspatches hebben om bekende kwetsbaarheden te beperken waar backdoors vaak misbruik van maken.
Netwerksegmentatie : Stel netwerksegmentatie in om kritieke systemen te isoleren en de verspreiding van infecties te beperken als er een achterdeur aanwezig is.
Sterke toegangscontroles en authenticatie : Dwing sterke wachtwoorden af, implementeer multi-factor authenticatie (MFA) en beperk toegangsrechten om de kans op ongeautoriseerde toegang tot systemen te verkleinen.
Training van medewerkers : Informeer medewerkers over social engineering-tactieken die worden gebruikt om achterdeurtjes in te zetten, zoals phishing-e-mails, en moedig hen aan om verdachte activiteiten onmiddellijk te melden.
Whitelisting van applicaties : Gebruik de whitelisting van applicaties alleen om goedgekeurde programma's te laten draaien, waardoor wordt voorkomen dat ongeautoriseerde of kwaadaardige software, inclusief backdoors, wordt uitgevoerd.
Gedragsanalyse : gebruik tools die het systeemgedrag monitoren op abnormale activiteiten die wijzen op achterdeurinfecties, zoals onverwachte netwerkverbindingen of bestandswijzigingen.
Regelmatige beveiligingsaudits : Voer routinematige beveiligingsaudits en penetratietests uit om kwetsbaarheden te herkennen en aan te pakken die door achterdeurtjes kunnen worden uitgebuit.
Back-up en herstel : Implementeer regelmatige gegevensback-ups die zijn opgeslagen in een onafhankelijke omgeving om de impact van een achterdeurinfectie te beperken en herstel in geval van gegevensverlies te vergemakkelijken.

Door een proactieve aanpak te hanteren die preventieve maatregelen combineert met robuuste detectie- en responsmogelijkheden, kunnen organisaties hun weerbaarheid tegen achterdeurinfecties vergroten en de daarmee samenhangende risico's effectief beperken.

Promoot SpyHunter via ShareASale en ontvang een uitbetaling van 55%

Zoeken

Veranderen van regio

Gomir Backdoor

De voorganger van de Gomir Backdoor is gebruikt om bedreigende malware te leveren

De Gomir Backdoor is speciaal ontworpen om Linux-systemen te infecteren

Implementeer effectieve maatregelen tegen malware-aanvallen

Commentaar toevoegen

Trending

Onlinenothome.com

BlackSkull-ransomware

Accountbescherming E-mailfraude

Meest bekeken

Discord toont zwart scherm bij delen van scherm

Hoe de fout 'Printerstuurprogramma is niet...

Wat is Msedge.exe?