Multi-License Discount Quote
Databáza hrozieb Backdoors Gomir Backdoor

Gomir Backdoor

Do roku Mezo v roku Backdoors, Advanced Persistent Threat (APT)
Preložiť do:
Slovenčina

Skupina Kimsuky, tiež známa ako Springtail, je skupina APT (Advanced Persistent Threat) spojená so Severokórejským úradom pre prieskum (RGB). Nedávne pozorovania odhaľujú ich nasadenie linuxovej úpravy zadného vrátka GoBear v rámci kampane zameranej na juhokórejské subjekty.

Toto zadné vrátka s názvom Gomir presne odzrkadľuje štruktúru GoBear a vyznačuje sa výrazným prekrývaním kódu medzi dvoma verziami malvéru. Predovšetkým Gomir nemá žiadne funkcie z GoBear, ktoré sú závislé od konkrétneho operačného systému, buď úplne chýbajú, alebo sú prekonfigurované na kompatibilitu v prostredí Linuxu.

Predchodca Gomir Backdoor bol použitý na šírenie hrozivého malvéru

Začiatkom februára 2024 výskumníci zdokumentovali vznik GoBear v súvislosti s kampaňou, ktorá šírila malvér známy ako Troll Stealer , tiež nazývaný TrollAgent. Ďalšie skúmanie malvéru po infekcii odhalilo podobnosti so zavedenými rodinami malvéru Kimsuky, ako sú AppleSeed a AlphaSeed.

Následná analýza odhalila, že malvér sa šíri prostredníctvom trojanizovaných bezpečnostných programov získaných z webovej stránky spojenej s juhokórejským stavebným združením, hoci konkrétna asociácia zostáva nezverejnená. Medzi napadnuté programy patria nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport a WIZVERA VeraPort. Predovšetkým WIZVERA VeraPort bol predtým terčom útoku na dodávateľský reťazec, ktorý uskutočnila skupina Lazarus v roku 2020.

Okrem toho sa zistilo, že malvér Troll Stealer sa šíri prostredníctvom nelegitímnych inštalátorov navrhnutých pre Wizvera VeraPort. Konkrétna metóda použitá na distribúciu týchto inštalačných balíkov však zostáva v súčasnosti neznáma.

Gomir Backdoor je navrhnutý špeciálne na infikovanie systémov Linux

GoBear vykazuje podobnosť v názvoch funkcií so starším zadným vrátkom Springtail s názvom BetaSeed, napísaným v C++, čo naznačuje potenciálny spoločný pôvod medzi týmito dvoma hrozbami. Tento malvér je vybavený schopnosťou vykonávať príkazy zo vzdialeného servera a šíri sa prostredníctvom kvapkadiel maskovaných ako falošné inštalátory pre aplikáciu spojenú s kórejskou dopravnou organizáciou.

Jeho linuxový variant, Gomir, sa môže pochváliť sadou 17 príkazov, ktoré útočníkom umožňujú vykonávať operácie so súbormi, iniciovať reverzný proxy, dočasne zastaviť komunikáciu Command-and-Control (C2), vykonávať príkazy shellu a ukončiť svoj vlastný proces.

Táto nedávna kampaň Kimsuky podčiarkuje posun smerom k softvérovým inštalačným balíkom a aktualizáciám ako preferovaným vektorom infekcie pre severokórejských špionážnych aktérov. Zdá sa, že výber cieleného softvéru je precízne prispôsobený na zvýšenie pravdepodobnosti infikovania zamýšľaných cieľov v Južnej Kórei.

Implementujte účinné opatrenia proti útokom škodlivého softvéru

Účinné protiopatrenia proti backdoor infekciám zahŕňajú viacvrstvový prístup zameraný na prevenciu, detekciu a reakciu. Tu je niekoľko osvedčených postupov:

  • Aktuálny bezpečnostný softvér : Zabezpečte, aby bol všetok bezpečnostný softvér vrátane antimalvérových programov pravidelne aktualizovaný, aby bolo možné odhaliť a odstrániť zadné vrátka a iné hrozby.
  • Pravidelné aktualizácie softvéru : Operačné systémy, aplikácie a firmvér by mali mať najnovšie bezpečnostné záplaty na zmiernenie známych zraniteľností, ktoré zadné vrátka často využívajú.
  • Segmentácia siete : Nastavte segmentáciu siete na izoláciu kritických systémov a obmedzenie šírenia infekcií, ak sú prítomné zadné vrátka.
  • Silná kontrola prístupu a autentifikácia : Vynucujte si silné heslá, implementujte viacfaktorovú autentifikáciu (MFA) a obmedzte prístupové privilégiá, aby ste znížili možnosti neoprávneného prístupu k systémom.
  • Školenie zamestnancov : Vzdelávajte zamestnancov o taktikách sociálneho inžinierstva, ktoré sa používajú pri zavádzaní zadných vrátok, ako sú phishingové e-maily, a povzbudzujte ich, aby okamžite nahlásili podozrivé aktivity.
  • Biela listina aplikácií : Bielu listinu aplikácií používajte len na umožnenie spustenia schválených programov, čím sa zabráni spusteniu neoprávneného alebo škodlivého softvéru vrátane zadných vrátok.
  • Analýza správania : Využívajte nástroje, ktoré monitorujú správanie systému kvôli anomálnym aktivitám indikujúcim infekcie backdoor, ako sú neočakávané sieťové pripojenia alebo úpravy súborov.
  • Pravidelné bezpečnostné audity : Vykonávajte rutinné bezpečnostné audity a penetračné testovanie s cieľom rozpoznať a riešiť zraniteľné miesta, ktoré by mohli byť zneužité zadnými vrátkami.
  • Zálohovanie a obnova : Implementujte pravidelné zálohovanie údajov uložených v nezávislom prostredí, aby ste zmiernili dopad infekcie zadných vrátok a uľahčili obnovu v prípade straty údajov.

Prijatím proaktívneho prístupu, ktorý kombinuje preventívne opatrenia s robustnými schopnosťami detekcie a reakcie, môžu organizácie zvýšiť svoju odolnosť voči infekciám typu backdoor a účinne zmierniť súvisiace riziká.

Trendy

E-mailový podvod na ochranu účtu

Phishing, Spam
Po preskúmaní výskumníkmi v oblasti informačnej bezpečnosti sa okamžite zistilo, že e-maily „Ochrana účtu“ sú klamlivé a sú súčasťou schémy phishingu. Primárnym cieľom týchto podvodných e-mailov je nalákať príjemcov, aby navštívili phishingovú webovú stránku navrhnutú na získanie prihlasovacích údajov používateľov do ich e-mailových účtov. E-mailový podvod na ochranu účtu môže ohroziť citlivé...

Najviac videné

Načítava...