Gomir Backdoor

Grupa Kimsuky, znana również jako Springtail, to grupa zajmująca się zaawansowanym trwałym zagrożeniem (APT) powiązana z Generalnym Biurem Rozpoznania Korei Północnej (RGB). Ostatnie obserwacje ujawniają, że w ramach kampanii skierowanej do podmiotów z Korei Południowej wdrożyli oni wersję backdoora GoBear dla systemu Linux.

Backdoor ten, nazwany Gomir, ściśle odzwierciedla strukturę GoBear, charakteryzując się znacznym nakładaniem się kodu pomiędzy dwiema wersjami szkodliwego oprogramowania. Warto zauważyć, że Gomir nie ma żadnych funkcji GoBear, które są zależne od konkretnego systemu operacyjnego, albo są one całkowicie nieobecne, albo zostały ponownie skonfigurowane pod kątem zgodności ze środowiskiem Linux.

Poprzednik backdoora Gomir został wykorzystany do dostarczenia groźnego złośliwego oprogramowania

Na początku lutego 2024 r. badacze udokumentowali pojawienie się GoBear w związku z kampanią rozpowszechniającą złośliwe oprogramowanie znane jako Troll Stealer , zwane także TrollAgent. Dalsze badanie szkodliwego oprogramowania powstałego po infekcji ujawniło podobieństwa z uznanymi rodzinami szkodliwego oprogramowania Kimsuky, takimi jak AppleSeed i AlphaSeed.

Późniejsza analiza wykazała, że złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem trojanizowanych programów bezpieczeństwa uzyskanych ze strony internetowej powiązanej z południowokoreańskim stowarzyszeniem związanym z budownictwem, chociaż konkretne powiązanie pozostaje nieujawnione. Zaatakowane programy obejmują nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport i WIZVERA VeraPort. Warto zauważyć, że WIZVERA VeraPort była już wcześniej celem ataku na łańcuch dostaw przeprowadzonego przez Grupę Lazarus w 2020 r.

Ponadto zauważono, że złośliwe oprogramowanie Troll Stealer jest rozpowszechniane za pośrednictwem nielegalnych instalatorów zaprojektowanych dla Wizvera VeraPort. Jednak konkretna metoda używana do dystrybucji tych pakietów instalacyjnych pozostaje obecnie nieznana.

Backdoor Gomir został zaprojektowany specjalnie do infekowania systemów Linux

GoBear wykazuje podobieństwa w nazwach funkcji do starszego backdoora Springtail o nazwie BetaSeed, napisanego w C++, co wskazuje na potencjalne wspólne pochodzenie obu zagrożeń. To złośliwe oprogramowanie umożliwia wykonywanie poleceń ze zdalnego serwera i rozprzestrzenia się za pośrednictwem dropperów podszywających się pod fałszywe instalatory aplikacji powiązanej z koreańską organizacją transportową.

Jego Linuxowy wariant, Gomir, oferuje zestaw 17 poleceń, umożliwiających atakującym przeprowadzanie operacji na plikach, inicjowanie zwrotnego proxy, tymczasowe wstrzymywanie komunikacji typu Command-and-Control (C2), wykonywanie poleceń powłoki i zakończenie własnego procesu.

Ta niedawna kampania Kimsuky’ego podkreśla zwrot w kierunku pakietów instalacyjnych i aktualizacji oprogramowania jako preferowanych wektorów infekcji dla północnokoreańskich aktorów szpiegowskich. Wybór docelowego oprogramowania wydaje się być starannie dostosowany, aby zwiększyć prawdopodobieństwo zainfekowania zamierzonych celów w Korei Południowej.

Wdróż skuteczne środki przeciwko atakom złośliwego oprogramowania

Skuteczne środki zaradcze przeciwko infekcjom typu backdoor obejmują wielowarstwowe podejście mające na celu zapobieganie, wykrywanie i reagowanie. Oto kilka najlepszych praktyk:

• Aktualne oprogramowanie zabezpieczające : upewnij się, że całe oprogramowanie zabezpieczające, w tym programy chroniące przed złośliwym oprogramowaniem, jest regularnie aktualizowane w celu wykrywania i usuwania tylnych drzwi i innych zagrożeń.
• Regularne aktualizacje oprogramowania : systemy operacyjne, aplikacje i oprogramowanie sprzętowe powinny mieć najnowsze poprawki zabezpieczeń, aby złagodzić znane luki w zabezpieczeniach, które często wykorzystują backdoory.
• Segmentacja sieci : skonfiguruj segmentację sieci, aby odizolować krytyczne systemy i ograniczyć rozprzestrzenianie się infekcji w przypadku obecności backdoora.
• Silna kontrola dostępu i uwierzytelnianie : egzekwuj silne hasła, wdrażaj uwierzytelnianie wieloskładnikowe (MFA) i ograniczaj uprawnienia dostępu, aby zmniejszyć ryzyko nieautoryzowanego dostępu do systemów.
• Szkolenia pracowników : Edukuj pracowników w zakresie taktyk inżynierii społecznej stosowanych przy wdrażaniu backdoorów, takich jak wiadomości e-mail phishingowe, i zachęcaj ich do niezwłocznego zgłaszania podejrzanych działań.
• Biała lista aplikacji : używaj białej listy aplikacji tylko w celu umożliwienia uruchamiania zatwierdzonych programów i zapobiegania uruchamianiu nieautoryzowanego lub złośliwego oprogramowania, w tym backdoorów.
• Analiza behawioralna : Stosuj narzędzia monitorujące zachowanie systemu pod kątem nietypowych działań wskazujących na infekcje backdoorem, takich jak nieoczekiwane połączenia sieciowe lub modyfikacje plików.
• Regularne audyty bezpieczeństwa : przeprowadzaj rutynowe audyty bezpieczeństwa i testy penetracyjne, aby rozpoznać i wyeliminować luki, które mogą zostać wykorzystane przez backdoory.
• Kopie zapasowe i odzyskiwanie : wdrażaj regularne kopie zapasowe danych przechowywane w niezależnym środowisku, aby złagodzić skutki infekcji backdoorem i ułatwić odzyskiwanie w przypadku utraty danych.

Przyjmując proaktywne podejście, które łączy środki zapobiegawcze z solidnymi możliwościami wykrywania i reagowania, organizacje mogą zwiększyć swoją odporność na infekcje typu backdoor i skutecznie ograniczać powiązane ryzyko.