Gomir Backdoor

Skupina Kimsuky, znana tudi kot Springtail, je skupina Advanced Persistent Threat (APT), povezana s severnokorejskim Generalnim izvidniškim uradom (RGB). Nedavna opazovanja razkrivajo njihovo uvedbo prilagoditve za Linux stranskih vrat GoBear v okviru kampanje, namenjene južnokorejskim subjektom.

Ta zakulisna vrata, imenovana Gomir, natančno odražajo strukturo GoBearja, saj se koda med obema različicama zlonamerne programske opreme znatno prekriva. Predvsem Gomir nima funkcij GoBear, ki so odvisne od določenega operacijskega sistema, bodisi jih sploh ni ali pa so bile ponovno konfigurirane za združljivost v okolju Linux.

Predhodnik Gomir Backdoorja je bil uporabljen za dostavo nevarne zlonamerne programske opreme

V začetku februarja 2024 so raziskovalci dokumentirali pojav GoBear v povezavi s kampanjo, ki je distribuirala zlonamerno programsko opremo, znano kot Troll Stealer , imenovano tudi TrollAgent. Nadaljnji pregled zlonamerne programske opreme po okužbi je razkril podobnosti z uveljavljenimi družinami zlonamerne programske opreme Kimsuky, kot sta AppleSeed in AlphaSeed.

Kasnejša analiza je odkrila, da se zlonamerna programska oprema širi prek trojaniziranih varnostnih programov, pridobljenih s spletne strani, povezane z južnokorejskim združenjem, povezanim z gradbeništvom, čeprav posebna povezava ostaja nerazkrita. Ogroženi programi vključujejo nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport in WIZVERA VeraPort. Zlasti WIZVERA VeraPort je bila prej tarča napada na dobavno verigo, ki ga je leta 2020 izvedla skupina Lazarus.

Poleg tega je bilo ugotovljeno, da se zlonamerna programska oprema Troll Stealer razširja prek nelegitimnih namestitvenih programov, zasnovanih za Wizvera VeraPort. Vendar posebna metoda, uporabljena za distribucijo teh namestitvenih paketov, trenutno ostaja neznana.

Gomir Backdoor je zasnovan posebej za okužbo sistemov Linux

GoBear kaže podobnosti v imenih funkcij s starejšim backdoorjem Springtail, imenovanim BetaSeed, napisanim v C++, kar kaže na morebiten skupni izvor obeh groženj. Ta zlonamerna programska oprema je opremljena z zmožnostmi za izvajanje ukazov z oddaljenega strežnika in se širi prek kapalk, prikritih kot ponarejeni namestitveni programi za aplikacijo, povezano s korejsko transportno organizacijo.

Njegova različica Linuxa, Gomir, se ponaša z naborom 17 ukazov, ki napadalcem omogočajo, da izvajajo operacije z datotekami, sprožijo obratni proxy, začasno ustavijo komunikacije ukazov in nadzora (C2), izvajajo ukaze lupine in prekinejo lasten proces.

Ta nedavna kampanja Kimsuky poudarja premik k namestitvenim paketom programske opreme in posodobitvam kot prednostnim vektorjem okužbe za severnokorejske vohunske akterje. Zdi se, da je izbor ciljne programske opreme natančno prilagojen za povečanje verjetnosti okužbe predvidenih južnokorejskih ciljev.

Izvedite učinkovite ukrepe proti napadom zlonamerne programske opreme

Učinkoviti protiukrepi proti zakulisnim okužbam vključujejo večplasten pristop, katerega cilj je preprečevanje, odkrivanje in odziv. Tukaj je nekaj najboljših praks:

• Posodobljena varnostna programska oprema : Zagotovite, da se vsa varnostna programska oprema, vključno s programi proti zlonamerni programski opremi, redno posodablja za odkrivanje in odstranjevanje stranskih vrat in drugih groženj.
• Redne posodobitve programske opreme : Operacijski sistemi, aplikacije in vdelana programska oprema morajo imeti najnovejše varnostne popravke za ublažitev znanih ranljivosti, ki jih pogosto izkoriščajo stranska vrata.
• Segmentacija omrežja : nastavite segmentacijo omrežja za izolacijo kritičnih sistemov in omejitev širjenja okužb, če so prisotna stranska vrata.
• Močan nadzor dostopa in avtentikacija : uveljavite močna gesla, implementirajte večfaktorsko avtentikacijo (MFA) in omejite privilegije dostopa, da zmanjšate možnosti nepooblaščenega dostopa do sistemov.
• Usposabljanje zaposlenih : poučite zaposlene o taktikah socialnega inženiringa, ki se uporabljajo za uvajanje stranskih vrat, kot so e-poštna sporočila z lažnim predstavljanjem, in jih spodbudite, da nemudoma prijavijo sumljive dejavnosti.
• Seznam dovoljenih aplikacij : Seznam dovoljenih aplikacij uporabite le za omogočanje izvajanja odobrenih programov, s čimer preprečite zagon nepooblaščeni ali zlonamerni programski opremi, vključno z zakulisnimi vrati.
• Analiza vedenja : uporabite orodja, ki spremljajo vedenje sistema za nenormalne dejavnosti, ki kažejo na okužbe zakulisnih vrat, kot so nepričakovane omrežne povezave ali spremembe datotek.
• Redne varnostne revizije : Izvedite rutinske varnostne revizije in testiranje prodora, da prepoznate in odpravite ranljivosti, ki bi jih lahko izkoristila stranska vrata.
• Varnostno kopiranje in obnovitev : izvajajte redne varnostne kopije podatkov, shranjenih v neodvisnem okolju, da ublažite vpliv okužbe zakulisnih vrat in olajšate obnovitev v primeru izgube podatkov.

S sprejetjem proaktivnega pristopa, ki združuje preventivne ukrepe z močnimi zmožnostmi odkrivanja in odzivanja, lahko organizacije povečajo svojo odpornost proti okužbam zakulisnih vrat in učinkovito ublažijo s tem povezana tveganja.