Gomir Backdoor

Группа Кимсуки, также известная как Спрингтейл, представляет собой группу Advanced Persistent Threat (APT), связанную с Генеральным разведывательным управлением Северной Кореи (RGB). Недавние наблюдения показывают, что они развернули Linux-версию бэкдора GoBear в рамках кампании, направленной на южнокорейские организации.

Этот бэкдор, названный Gomir, точно повторяет структуру GoBear и демонстрирует значительное совпадение кода двух версий вредоносного ПО. Примечательно, что в Gomir отсутствуют какие-либо функции GoBear, которые зависят от конкретной операционной системы: они либо отсутствуют вообще, либо перенастроены для совместимости со средой Linux.

Предшественник бэкдора Gomir использовался для доставки угрожающего вредоносного ПО

В начале февраля 2024 года исследователи зафиксировали появление GoBear в связи с кампанией по распространению вредоносного ПО, известного как Troll Stealer , также называемого TrollAgent. Дальнейшее изучение вредоносного ПО, появившегося после заражения, выявило сходство с известными семействами вредоносных программ Kimsuky, такими как AppleSeed и AlphaSeed.

Последующий анализ показал, что вредоносное ПО распространяется через троянские программы безопасности, полученные с веб-сайта, связанного с южнокорейской строительной ассоциацией, хотя конкретная ассоциация остается нераскрытой. В число скомпрометированных программ входят nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport и WIZVERA VeraPort. Примечательно, что WIZVERA VeraPort ранее подвергалась атаке на цепочку поставок, проведенной Lazarus Group в 2020 году.

Кроме того, было отмечено, что вредоносное ПО Troll Stealer распространяется через нелегальные установщики, разработанные для Wizvera VeraPort. Однако конкретный метод распространения этих установочных пакетов на данный момент остается неизвестным.

Бэкдор Gomir создан специально для заражения Linux-систем

GoBear имеет сходство в именах функций со старым бэкдором Springtail под названием BetaSeed, написанным на C++, что указывает на потенциальное общее происхождение этих двух угроз. Это вредоносное ПО обладает возможностью выполнять команды с удаленного сервера и распространяется через дропперы, маскирующиеся под поддельные установщики приложения, связанного с корейской транспортной организацией.

Его вариант для Linux, Gomir, может похвастаться набором из 17 команд, позволяющих злоумышленникам выполнять файловые операции, запускать обратный прокси-сервер, временно прекращать связь с управлением и контролем (C2), выполнять команды оболочки и завершать собственный процесс.

Эта недавняя кампания Кимсуки подчеркивает сдвиг в сторону установочных пакетов и обновлений программного обеспечения как предпочтительных векторов заражения для северокорейских шпионов. Выбор целевого программного обеспечения, по-видимому, тщательно продуман, чтобы повысить вероятность заражения намеченных целей в Южной Корее.

Реализуйте эффективные меры против атак вредоносных программ

Эффективные меры противодействия бэкдор-инфекциям включают многоуровневый подход, направленный на предотвращение, обнаружение и реагирование. Вот несколько лучших практик:

• Современное программное обеспечение безопасности : убедитесь, что все программное обеспечение безопасности, включая программы защиты от вредоносных программ, регулярно обновляется для обнаружения и удаления бэкдоров и других угроз.
• Регулярные обновления программного обеспечения . Операционные системы, приложения и встроенное ПО должны иметь последние исправления безопасности для устранения известных уязвимостей, которыми часто пользуются бэкдоры.
• Сегментация сети : настройте сегментацию сети, чтобы изолировать критически важные системы и ограничить распространение инфекций при наличии бэкдора.
• Надежный контроль доступа и аутентификация : применяйте надежные пароли, реализуйте многофакторную аутентификацию (MFA) и ограничивайте права доступа, чтобы уменьшить возможности несанкционированного доступа к системам.
• Обучение сотрудников . Обучайте сотрудников методам социальной инженерии, используемым для развертывания бэкдоров, таких как фишинговые электронные письма, и поощряйте их оперативно сообщать о подозрительных действиях.
• Белый список приложений : используйте белый список приложений только для того, чтобы разрешить запуск одобренных программ и предотвратить запуск неавторизованного или вредоносного программного обеспечения, включая бэкдоры.
• Поведенческий анализ : используйте инструменты, которые отслеживают поведение системы на предмет аномальных действий, указывающих на бэкдорное заражение, таких как неожиданные сетевые подключения или изменения файлов.
• Регулярные проверки безопасности : проводите регулярные проверки безопасности и тестирование на проникновение для выявления и устранения уязвимостей, которые могут быть использованы бэкдорами.
• Резервное копирование и восстановление : выполняйте регулярное резервное копирование данных, хранящихся в независимой среде, чтобы смягчить последствия заражения бэкдором и облегчить восстановление в случае потери данных.

Приняв упреждающий подход, сочетающий профилактические меры с надежными возможностями обнаружения и реагирования, организации могут повысить свою устойчивость к бэкдорным инфекциям и эффективно снизить связанные с ними риски.