Gomir Backdoor

ਕਿਮਸੁਕੀ ਸਮੂਹ, ਜਿਸ ਨੂੰ ਸਪਰਿੰਗਟੇਲ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਉੱਤਰੀ ਕੋਰੀਆ ਦੇ ਰੀਕੋਨੇਸੈਂਸ ਜਨਰਲ ਬਿਊਰੋ (ਆਰਜੀਬੀ) ਨਾਲ ਜੁੜਿਆ ਇੱਕ ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ (ਏਪੀਟੀ) ਸਮੂਹ ਹੈ। ਹਾਲੀਆ ਨਿਰੀਖਣਾਂ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਦੱਖਣੀ ਕੋਰੀਆ ਦੀਆਂ ਇਕਾਈਆਂ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਮੁਹਿੰਮ ਦੇ ਅੰਦਰ GoBear ਬੈਕਡੋਰ ਦੇ ਇੱਕ ਲੀਨਕਸ ਅਨੁਕੂਲਨ ਦੀ ਤੈਨਾਤੀ ਕੀਤੀ ਗਈ ਹੈ।

ਗੋਮੀਰ ਨਾਮਕ, ਇਹ ਬੈਕਡੋਰ ਗੋਬੀਅਰ ਦੀ ਬਣਤਰ ਨੂੰ ਨੇੜਿਓਂ ਪ੍ਰਤੀਬਿੰਬਤ ਕਰਦਾ ਹੈ, ਦੋ ਮਾਲਵੇਅਰ ਸੰਸਕਰਣਾਂ ਦੇ ਵਿਚਕਾਰ ਕੋਡ ਦੇ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਓਵਰਲੈਪ ਦੀ ਵਿਸ਼ੇਸ਼ਤਾ ਕਰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਗੋਮੀਰ ਵਿੱਚ GoBear ਤੋਂ ਕੋਈ ਵੀ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਦੀ ਘਾਟ ਹੈ ਜੋ ਇੱਕ ਖਾਸ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ 'ਤੇ ਨਿਰਭਰ ਹਨ, ਜਾਂ ਤਾਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਗੈਰਹਾਜ਼ਰ ਹੋਣ ਜਾਂ Linux ਵਾਤਾਵਰਣ ਵਿੱਚ ਅਨੁਕੂਲਤਾ ਲਈ ਮੁੜ ਸੰਰਚਿਤ ਕੀਤਾ ਗਿਆ ਹੋਵੇ।

Gomir Backdoor ਦੇ ਪੂਰਵਗਾਮੀ ਨੂੰ ਧਮਕੀ ਭਰੇ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਵਰਤਿਆ ਗਿਆ ਹੈ

ਫਰਵਰੀ 2024 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਮੁਹਿੰਮ ਦੇ ਸਬੰਧ ਵਿੱਚ GoBear ਦੇ ਉਭਾਰ ਦਾ ਦਸਤਾਵੇਜ਼ੀਕਰਨ ਕੀਤਾ ਜਿਸਨੇ Troll Stealer , ਜਿਸਨੂੰ TrollAgent ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਮਾਲਵੇਅਰ ਵੰਡਿਆ। ਪੋਸਟ-ਇਨਫੈਕਸ਼ਨ ਮਾਲਵੇਅਰ ਦੀ ਹੋਰ ਜਾਂਚ ਨੇ ਕਿਮਸੁਕੀ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰਾਂ ਜਿਵੇਂ ਕਿ AppleSeed ਅਤੇ AlphaSeed ਨਾਲ ਸਮਾਨਤਾਵਾਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ।

ਬਾਅਦ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਮਾਲਵੇਅਰ ਨੂੰ ਦੱਖਣੀ ਕੋਰੀਆ ਦੇ ਨਿਰਮਾਣ-ਸਬੰਧਤ ਐਸੋਸੀਏਸ਼ਨ ਨਾਲ ਜੁੜੀ ਇੱਕ ਵੈਬਸਾਈਟ ਤੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਸੁਰੱਖਿਆ ਪ੍ਰੋਗਰਾਮਾਂ ਦੁਆਰਾ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਗਿਆ ਹੈ, ਹਾਲਾਂਕਿ ਖਾਸ ਐਸੋਸੀਏਸ਼ਨ ਅਣਜਾਣ ਹੈ। ਸਮਝੌਤਾ ਕੀਤੇ ਪ੍ਰੋਗਰਾਮਾਂ ਵਿੱਚ nProtect ਔਨਲਾਈਨ ਸੁਰੱਖਿਆ, NX_PRNMAN, TrustPKI, UbiReport, ਅਤੇ WIZVERA VeraPort ਸ਼ਾਮਲ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਵਿਜ਼ਵੇਰਾ ਵੇਰਾਪੋਰਟ ਨੂੰ ਪਹਿਲਾਂ 2020 ਵਿੱਚ ਲਾਜ਼ਰਸ ਸਮੂਹ ਦੁਆਰਾ ਕੀਤੇ ਗਏ ਇੱਕ ਸਪਲਾਈ ਚੇਨ ਹਮਲੇ ਵਿੱਚ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਸੀ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਨੋਟ ਕੀਤਾ ਗਿਆ ਹੈ ਕਿ ਟ੍ਰੋਲ ਸਟੀਲਰ ਮਾਲਵੇਅਰ ਵਿਜ਼ਵੇਰਾ ਵੇਰਾਪੋਰਟ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਗੈਰ-ਕਾਨੂੰਨੀ ਇੰਸਟਾਲਰਾਂ ਦੁਆਰਾ ਫੈਲਾਇਆ ਜਾ ਰਿਹਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹਨਾਂ ਇੰਸਟਾਲੇਸ਼ਨ ਪੈਕੇਜਾਂ ਨੂੰ ਵੰਡਣ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਖਾਸ ਤਰੀਕਾ ਵਰਤਮਾਨ ਵਿੱਚ ਅਣਜਾਣ ਹੈ।

ਗੋਮੀਰ ਬੈਕਡੋਰ ਖਾਸ ਤੌਰ 'ਤੇ ਲੀਨਕਸ ਸਿਸਟਮ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ

GoBear ਫੰਕਸ਼ਨ ਦੇ ਨਾਮਾਂ ਵਿੱਚ ਇੱਕ ਪੁਰਾਣੇ ਸਪਰਿੰਗਟੇਲ ਬੈਕਡੋਰ ਦੇ ਸਮਾਨਤਾਵਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜਿਸਨੂੰ BetaSeed ਕਿਹਾ ਜਾਂਦਾ ਹੈ, C++ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ, ਜੋ ਕਿ ਦੋ ਖਤਰਿਆਂ ਦੇ ਵਿਚਕਾਰ ਇੱਕ ਸੰਭਾਵੀ ਸਾਂਝੇ ਮੂਲ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਹੈ ਅਤੇ ਇੱਕ ਕੋਰੀਆਈ ਆਵਾਜਾਈ ਸੰਸਥਾ ਨਾਲ ਸਬੰਧਿਤ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਲਈ ਨਕਲੀ ਇੰਸਟਾਲਰ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਡਰਾਪਰਾਂ ਦੁਆਰਾ ਫੈਲਿਆ ਹੋਇਆ ਹੈ।

ਇਸ ਦਾ ਲੀਨਕਸ ਵੇਰੀਐਂਟ, ਗੋਮੀਰ, 17 ਕਮਾਂਡਾਂ ਦਾ ਇੱਕ ਸੈੱਟ ਪੇਸ਼ ਕਰਦਾ ਹੈ, ਹਮਲਾਵਰਾਂ ਨੂੰ ਫਾਈਲ ਓਪਰੇਸ਼ਨ ਕਰਨ, ਇੱਕ ਰਿਵਰਸ ਪ੍ਰੌਕਸੀ ਸ਼ੁਰੂ ਕਰਨ, ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸੰਚਾਰਾਂ ਨੂੰ ਅਸਥਾਈ ਤੌਰ 'ਤੇ ਰੋਕਣ, ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਅਤੇ ਆਪਣੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਸ਼ਕਤੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।

ਇਹ ਹਾਲੀਆ ਕਿਮਸੁਕੀ ਮੁਹਿੰਮ ਉੱਤਰੀ ਕੋਰੀਆਈ ਜਾਸੂਸੀ ਅਦਾਕਾਰਾਂ ਲਈ ਤਰਜੀਹੀ ਸੰਕਰਮਣ ਵੈਕਟਰਾਂ ਵਜੋਂ ਸਾਫਟਵੇਅਰ ਇੰਸਟਾਲੇਸ਼ਨ ਪੈਕੇਜਾਂ ਅਤੇ ਅਪਡੇਟਾਂ ਵੱਲ ਤਬਦੀਲੀ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ। ਨਿਸ਼ਾਨੇ ਵਾਲੇ ਸੌਫਟਵੇਅਰ ਦੀ ਚੋਣ ਸਾਵਧਾਨੀ ਨਾਲ ਦੱਖਣੀ ਕੋਰੀਆ ਦੇ ਟੀਚਿਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਜਾਪਦੀ ਹੈ।

ਮਾਲਵੇਅਰ ਹਮਲਿਆਂ ਦੇ ਵਿਰੁੱਧ ਪ੍ਰਭਾਵੀ ਉਪਾਅ ਲਾਗੂ ਕਰੋ

ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀਆਂ ਲਾਗਾਂ ਦੇ ਵਿਰੁੱਧ ਪ੍ਰਭਾਵੀ ਜਵਾਬੀ ਉਪਾਵਾਂ ਵਿੱਚ ਰੋਕਥਾਮ, ਖੋਜ ਅਤੇ ਜਵਾਬ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਬਹੁ-ਪੱਧਰੀ ਪਹੁੰਚ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ। ਇੱਥੇ ਕੁਝ ਵਧੀਆ ਅਭਿਆਸ ਹਨ:

• ਅੱਪ-ਟੂ-ਡੇਟ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ : ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਸਾਰੇ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ, ਐਂਟੀ-ਮਾਲਵੇਅਰ ਪ੍ਰੋਗਰਾਮਾਂ ਸਮੇਤ, ਬੈਕਡੋਰਸ ਅਤੇ ਹੋਰ ਖਤਰਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਹਟਾਉਣ ਲਈ ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਅੱਪਡੇਟ ਕੀਤੇ ਜਾਂਦੇ ਹਨ।
• ਨਿਯਮਤ ਸੌਫਟਵੇਅਰ ਅਪਡੇਟਸ : ਓਪਰੇਟਿੰਗ ਸਿਸਟਮਾਂ, ਐਪਲੀਕੇਸ਼ਨਾਂ, ਅਤੇ ਫਰਮਵੇਅਰ ਵਿੱਚ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਨਵੀਨਤਮ ਸੁਰੱਖਿਆ ਪੈਚ ਹੋਣੇ ਚਾਹੀਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਦਾ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਅਕਸਰ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ।
• ਨੈੱਟਵਰਕ ਸੈਗਮੈਂਟੇਸ਼ਨ : ਨਾਜ਼ੁਕ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਅਲੱਗ-ਥਲੱਗ ਕਰਨ ਲਈ ਨੈੱਟਵਰਕ ਸੈਗਮੈਂਟੇਸ਼ਨ ਸੈਟ ਅਪ ਕਰੋ ਅਤੇ ਲਾਗਾਂ ਦੇ ਫੈਲਣ ਨੂੰ ਸੀਮਤ ਕਰੋ ਜੇਕਰ ਕੋਈ ਬੈਕਡੋਰ ਮੌਜੂਦ ਹੈ।
• ਮਜ਼ਬੂਤ ਪਹੁੰਚ ਨਿਯੰਤਰਣ ਅਤੇ ਪ੍ਰਮਾਣਿਕਤਾ : ਮਜ਼ਬੂਤ ਪਾਸਵਰਡ ਲਾਗੂ ਕਰੋ, ਮਲਟੀ-ਫੈਕਟਰ ਪ੍ਰਮਾਣਿਕਤਾ (MFA) ਨੂੰ ਲਾਗੂ ਕਰੋ, ਅਤੇ ਸਿਸਟਮਾਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਦੇ ਮੌਕਿਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਪਹੁੰਚ ਅਧਿਕਾਰਾਂ ਨੂੰ ਸੀਮਤ ਕਰੋ।
• ਕਰਮਚਾਰੀ ਸਿਖਲਾਈ : ਕਰਮਚਾਰੀਆਂ ਨੂੰ ਪਿਛਲੇ ਦਰਵਾਜ਼ਿਆਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ ਬਾਰੇ ਸਿਖਿਅਤ ਕਰੋ, ਜਿਵੇਂ ਕਿ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ, ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸ਼ੱਕੀ ਗਤੀਵਿਧੀਆਂ ਦੀ ਤੁਰੰਤ ਰਿਪੋਰਟ ਕਰਨ ਲਈ ਉਤਸ਼ਾਹਿਤ ਕਰੋ।
• ਐਪਲੀਕੇਸ਼ਨ ਵ੍ਹਾਈਟਲਿਸਟਿੰਗ : ਐਪਲੀਕੇਸ਼ਨ ਵ੍ਹਾਈਟਲਿਸਟਿੰਗ ਦੀ ਵਰਤੋਂ ਸਿਰਫ ਮਨਜ਼ੂਰਸ਼ੁਦਾ ਪ੍ਰੋਗਰਾਮਾਂ ਨੂੰ ਚੱਲਣ ਦੀ ਇਜਾਜ਼ਤ ਦੇਣ ਲਈ ਕਰੋ, ਅਣਅਧਿਕਾਰਤ ਜਾਂ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ, ਬੈਕਡੋਰਸ ਸਮੇਤ, ਨੂੰ ਚਲਾਉਣ ਤੋਂ ਰੋਕਣ ਲਈ।
• ਵਿਵਹਾਰ ਸੰਬੰਧੀ ਵਿਸ਼ਲੇਸ਼ਣ : ਅਜਿਹੇ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰੋ ਜੋ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀਆਂ ਲਾਗਾਂ, ਜਿਵੇਂ ਕਿ ਅਚਾਨਕ ਨੈਟਵਰਕ ਕਨੈਕਸ਼ਨ ਜਾਂ ਫਾਈਲ ਸੋਧਾਂ ਦੇ ਸੰਕੇਤ ਦੇਣ ਵਾਲੀਆਂ ਅਸਧਾਰਨ ਗਤੀਵਿਧੀਆਂ ਲਈ ਸਿਸਟਮ ਵਿਵਹਾਰ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦੇ ਹਨ।
• ਨਿਯਮਤ ਸੁਰੱਖਿਆ ਆਡਿਟ : ਬੈਕਡੋਰਸ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤੇ ਜਾ ਸਕਣ ਵਾਲੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਪਛਾਣਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਰੁਟੀਨ ਸੁਰੱਖਿਆ ਆਡਿਟ ਅਤੇ ਪ੍ਰਵੇਸ਼ ਟੈਸਟਿੰਗ ਕਰੋ।
• ਬੈਕਅਪ ਅਤੇ ਰਿਕਵਰੀ : ਬੈਕਡੋਰ ਇਨਫੈਕਸ਼ਨ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਘੱਟ ਕਰਨ ਅਤੇ ਡੇਟਾ ਦੇ ਨੁਕਸਾਨ ਦੀ ਸਥਿਤੀ ਵਿੱਚ ਰਿਕਵਰੀ ਦੀ ਸਹੂਲਤ ਲਈ ਇੱਕ ਸੁਤੰਤਰ ਵਾਤਾਵਰਣ ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਨਿਯਮਤ ਡੇਟਾ ਬੈਕਅਪ ਨੂੰ ਲਾਗੂ ਕਰੋ।

ਇੱਕ ਕਿਰਿਆਸ਼ੀਲ ਪਹੁੰਚ ਅਪਣਾ ਕੇ ਜੋ ਰੋਕਥਾਮ ਦੇ ਉਪਾਵਾਂ ਨੂੰ ਮਜ਼ਬੂਤ ਖੋਜ ਅਤੇ ਪ੍ਰਤੀਕਿਰਿਆ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਜੋੜਦਾ ਹੈ, ਸੰਸਥਾਵਾਂ ਬੈਕਡੋਰ ਇਨਫੈਕਸ਼ਨਾਂ ਦੇ ਵਿਰੁੱਧ ਆਪਣੀ ਲਚਕਤਾ ਨੂੰ ਵਧਾ ਸਕਦੀਆਂ ਹਨ ਅਤੇ ਸੰਬੰਧਿਤ ਜੋਖਮਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਘਟਾ ਸਕਦੀਆਂ ਹਨ।