Gomir Backdoor

Grupul Kimsuky, cunoscut și sub numele de Springtail, este un grup Advanced Persistent Threat (APT) asociat cu Biroul General de Recunoaștere (RGB) din Coreea de Nord. Observații recente dezvăluie implementarea unei adaptări Linux a ușii din spate GoBear în cadrul unei campanii care vizează entitățile sud-coreene.

Denumită Gomir, această ușă din spate oglindește îndeaproape structura GoBear, prezentând o suprapunere semnificativă de cod între cele două versiuni de malware. În special, lui Gomir îi lipsește orice funcționalități de la GoBear care depind de un anumit sistem de operare, fie fiind absente cu totul, fie reconfigurate pentru compatibilitate în mediul Linux.

Predecesorul Gomir Backdoor a fost folosit pentru a furniza programe malware amenințătoare

La începutul lunii februarie 2024, cercetătorii au documentat apariția GoBear în legătură cu o campanie care a distribuit malware cunoscut sub numele de Troll Stealer , numit și TrollAgent. O examinare ulterioară a malware-ului post-infecție a relevat asemănări cu familiile de malware Kimsuky consacrate, cum ar fi AppleSeed și AlphaSeed.

Analiza ulterioară a descoperit că malware-ul este propagat prin programe de securitate troiene obținute de pe un site web asociat cu o asociație sud-coreeană legată de construcții, deși asocierea specifică rămâne nedezvăluită. Programele compromise includ nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport și WIZVERA VeraPort. În special, WIZVERA VeraPort a fost vizată anterior într-un atac al lanțului de aprovizionare efectuat de Grupul Lazarus în 2020.

În plus, s-a remarcat faptul că malware-ul Troll Stealer este răspândit prin instalatori nelegitimi proiectați pentru Wizvera VeraPort. Cu toate acestea, metoda specifică utilizată pentru distribuirea acestor pachete de instalare rămâne în prezent necunoscută.

Ușa din spate Gomir este concepută special pentru a infecta sistemele Linux

GoBear prezintă asemănări în numele funcțiilor cu o ușă mai veche Springtail numită BetaSeed, scrisă în C++, indicând o potențială origine comună între cele două amenințări. Acest malware este echipat cu capabilități de a executa comenzi de pe un server la distanță și este răspândit prin droppers deghizat în instalatori contrafăcute pentru o aplicație asociată cu o organizație de transport coreeană.

Varianta sa Linux, Gomir, se mândrește cu un set de 17 comenzi, dând putere atacatorilor să efectueze operațiuni cu fișiere, să inițieze un proxy invers, să oprească temporar comunicațiile Command-and-Control (C2), să execute comenzi shell și să încheie propriul proces.

Această campanie Kimsuky recentă subliniază trecerea către pachetele de instalare și actualizări de software ca vectori de infecție preferați pentru actorii de spionaj nord-coreeni. Selecția software-ului vizat pare meticulos adaptată pentru a spori probabilitatea de a infecta țintele din Coreea de Sud.

Implementați măsuri eficiente împotriva atacurilor malware

Contramăsurile eficiente împotriva infecțiilor din spate implică o abordare pe mai multe straturi care vizează prevenirea, detectarea și răspunsul. Iată câteva dintre cele mai bune practici:

• Software de securitate actualizat : Asigurați-vă că toate programele de securitate, inclusiv programele anti-malware, sunt actualizate în mod regulat pentru a detecta și elimina ușile din spate și alte amenințări.
• Actualizări regulate de software : sistemele de operare, aplicațiile și firmware-ul ar trebui să aibă cele mai recente corecții de securitate pentru a atenua vulnerabilitățile cunoscute pe care ușile din spate le exploatează adesea.
• Segmentarea rețelei : Configurați segmentarea rețelei pentru a izola sistemele critice și a limita răspândirea infecțiilor dacă este prezentă o ușă din spate.
• Controale puternice de acces și autentificare : Implementați parole puternice, implementați autentificarea cu mai mulți factori (MFA) și restricționați privilegiile de acces pentru a reduce oportunitățile de acces neautorizat la sisteme.
• Instruirea angajaților : educați angajații cu privire la tacticile de inginerie socială folosite pentru a implementa ușile din spate, cum ar fi e-mailurile de phishing și încurajați-i să raporteze cu promptitudine activitățile suspecte.
• Lista albă a aplicațiilor : utilizați lista albă a aplicațiilor numai pentru a permite rularea programelor aprobate, împiedicând executarea software-ului neautorizat sau rău intenționat, inclusiv ușile din spate.
• Analiză comportamentală : Folosiți instrumente care monitorizează comportamentul sistemului pentru activități anormale care indică infecțiile din spate, cum ar fi conexiuni neașteptate la rețea sau modificări ale fișierelor.
• Audituri regulate de securitate : Efectuați audituri de securitate de rutină și teste de penetrare pentru a recunoaște și aborda vulnerabilitățile care ar putea fi exploatate de ușile din spate.
• Backup și recuperare : implementați backup-uri regulate ale datelor stocate într-un mediu independent pentru a atenua impactul unei infecții cu uși din spate și pentru a facilita recuperarea în cazul pierderii datelor.

Prin adoptarea unei abordări proactive care combină măsuri preventive cu capabilități solide de detectare și răspuns, organizațiile își pot spori rezistența împotriva infecțiilor din spate și pot atenua riscurile asociate în mod eficient.