Gomir Backdoor

O grupo Kimsuky, também conhecido como Springtail, é um grupo de Ameaça Persistente Avançada (APT) associado ao Reconnaissance General Bureau (RGB) da Coreia do Norte. Observações recentes revelam a implantação de uma adaptação Linux do backdoor GoBear dentro de uma campanha destinada a entidades sul-coreanas.

Chamado de Gomir, esse backdoor reflete de perto a estrutura do GoBear, apresentando uma sobreposição significativa de código entre as duas versões de malware. Notavelmente, o Gomir não possui quaisquer funcionalidades do GoBear que dependam de um sistema operacional específico, estando totalmente ausentes ou reconfiguradas para compatibilidade no ambiente Linux.

O Antecessor do Gomir Backdoor foi Usado para Entregar um Malware Ameaçador

No início de fevereiro de 2024, pesquisadores documentaram o surgimento do GoBear em conexão com uma campanha que distribuía malware conhecido como Troll Stealer, também chamado de TrollAgent. Um exame mais aprofundado do malware pós-infecção revelou semelhanças com famílias de malware Kimsuky estabelecidas, como AppleSeed e AlphaSeed.

Análises subsequentes revelaram que o malware é propagado por meio de programas de segurança trojanizados obtidos de um site associado a uma associação sul-coreana relacionada à construção, embora a associação específica permaneça não revelada. Os programas comprometidos incluem nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport e WIZVERA VeraPort. Notavelmente, o WIZVERA VeraPort já havia sido alvo de um ataque à cadeia de abastecimento realizado pelo Grupo Lazarus em 2020.

Além disso, foi observado que o malware Troll Stealer está sendo disseminado através de instaladores ilegítimos projetados para Wizvera VeraPort. No entanto, o método específico usado para distribuir esses pacotes de instalação permanece desconhecido.

O Gomir Backdoor foi Projetado Especificamente para Infectar os Sistemas Linux

O GoBear exibe semelhanças nos nomes das funções com um backdoor Springtail mais antigo chamado BetaSeed, escrito em C++, indicando uma potencial origem comum entre as duas ameaças. Esse malware está equipado com recursos para executar comandos de um servidor remoto e se espalha por meio de droppers disfarçados de instaladores falsificados de um aplicativo associado a uma organização de transporte coreana.

Sua variante Linux, o Gomir, possui um conjunto de 17 comandos, capacitando os invasores a realizar operações de arquivos, iniciar um proxy reverso, interromper temporariamente as comunicações de Comando e Controle (C2), executar comandos shell e encerrar seu próprio processo.

Esta recente campanha de Kimsuky sublinha a mudança para pacotes de instalação de software e atualizações como vetores de infecção preferenciais para agentes de espionagem norte-coreanos. A seleção do software direcionado parece meticulosamente adaptada para aumentar a probabilidade de infectar os alvos sul-coreanos pretendidos.

Implemente Medidas Eficazes contra Ataques de Malware

Contra-medidas eficazes contra infecções backdoor envolvem uma abordagem multifacetada destinada à prevenção, detecção e resposta. Aqui estão algumas práticas recomendadas:

• Software de segurança atualizado : Certifique-se de que todo o software de segurança, incluindo programas anti-malware, seja atualizado regularmente para detectar e remover backdoors e outras ameaças.
• Atualizações regulares de software : Os sistemas operacionais, aplicativos e firmware devem ter os patches de segurança mais recentes para mitigar vulnerabilidades conhecidas que os backdoors costumam explorar.
• Segmentação de rede : Configure a segmentação de rede para isolar sistemas críticos e limitar a propagação de infecções se um backdoor estiver presente.
• Controles de acesso e autenticação fortes : Aplique senhas fortes, implemente autenticação multifator (MFA) e restrinja privilégios de acesso para reduzir as oportunidades de acesso não autorizado aos sistemas.
• Treinamento de funcionários : Eduque os funcionários sobre as táticas de engenharia social usadas para implantar backdoors, como e-mails de phishing, e incentive-os a relatar atividades suspeitas imediatamente.
• Lista de permissões de aplicativos : Use a lista de permissões de aplicativos apenas para permitir a execução de programas aprovados, evitando a execução de software não autorizado ou malicioso, incluindo backdoors.
• Análise Comportamental : Empregue ferramentas que monitoram o comportamento do sistema em busca de atividades anômalas indicativas de infecções de backdoor, como conexões de rede inesperadas ou modificações de arquivos.
• Auditorias de segurança regulares : Conduza auditorias de segurança de rotina e testes de penetração para reconhecer e solucionar vulnerabilidades que podem ser exploradas por backdoors.
• Backup e recuperação : Implemente backups regulares de dados armazenados em um ambiente independente para mitigar o impacto de uma infecção backdoor e facilitar a recuperação em caso de perda de dados.

Ao adoptar uma abordagem proactiva que combine medidas preventivas com capacidades robustas de detecção e resposta, as organizações podem aumentar a sua resiliência contra infecções de backdoor e mitigar eficazmente os riscos associados.