Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Backdoors Gomir Backdoor

Gomir Backdoor

Nga MezoBackdoors, Advanced Persistent Threat (APT)
Përkthe në:
Shqip

Grupi Kimsuky, i njohur gjithashtu si Springtail, është një grup Kërcënimi i Përparuar i Përhershëm (APT) i lidhur me Byronë e Përgjithshme të Zbulimit të Koresë së Veriut (RGB). Vëzhgimet e fundit zbulojnë vendosjen e tyre të një përshtatjeje Linux të derës së pasme të GoBear brenda një fushate që synon entitetet e Koresë së Jugut.

E quajtur Gomir, kjo derë e pasme pasqyron nga afër strukturën e GoBear, duke shfaqur një mbivendosje të konsiderueshme të kodit midis dy versioneve të malware. Veçanërisht, Gomirit i mungon ndonjë funksionalitet nga GoBear që varen nga një sistem operativ specifik, ose duke munguar fare ose të rikonfiguruar për pajtueshmërinë brenda mjedisit Linux.

Paraardhësi i Gomir Backdoor është përdorur për të ofruar malware kërcënues

Në fillim të shkurtit 2024, studiuesit dokumentuan shfaqjen e GoBear në lidhje me një fushatë që shpërndante malware të njohur si Troll Stealer , i quajtur gjithashtu TrollAgent. Ekzaminimi i mëtejshëm i malware pas infektimit zbuloi ngjashmëri me familjet e krijuara të malware Kimsuky si AppleSeed dhe AlphaSeed.

Analiza e mëvonshme zbuloi se malware përhapet përmes programeve të trojanizuara të sigurisë të marra nga një faqe interneti e lidhur me një shoqatë të lidhur me ndërtimin e Koresë së Jugut, megjithëse shoqata specifike mbetet e pazbuluar. Programet e komprometuara përfshijnë nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport dhe WIZVERA VeraPort. Veçanërisht, WIZVERA VeraPort ishte shënjestruar më parë në një sulm të zinxhirit të furnizimit të kryer nga Grupi Lazarus në 2020.

Për më tepër, është vërejtur se malware i Troll Stealer po shpërndahet përmes instaluesve të paligjshëm të krijuar për Wizvera VeraPort. Megjithatë, metoda specifike e përdorur për shpërndarjen e këtyre paketave të instalimit mbetet aktualisht e panjohur.

Backdoor Gomir është projektuar në mënyrë specifike për të infektuar sistemet Linux

GoBear shfaq ngjashmëri në emrat e funksioneve me një prapavijë më të vjetër Springtail të quajtur BetaSeed, e shkruar në C++, duke treguar një origjinë të përbashkët të mundshme midis dy kërcënimeve. Ky malware është i pajisur me aftësi për të ekzekutuar komanda nga një server në distancë dhe përhapet përmes pikave të maskuara si instalues të falsifikuar për një aplikacion të lidhur me një organizatë koreane transporti.

Varianti i tij Linux, Gomir, krenohet me një grup prej 17 komandash, duke fuqizuar sulmuesit të kryejnë operacione skedarësh, të iniciojnë një përfaqësues të kundërt, të ndalojnë përkohësisht komunikimet Command-and-Control (C2), të ekzekutojnë komandat e guaskës dhe të përfundojnë procesin e vet.

Kjo fushatë e fundit e Kimsuky nënvizon zhvendosjen drejt paketave dhe përditësimeve të instalimit të softuerit si vektorë të preferuar infeksioni për aktorët e spiunazhit të Koresë së Veriut. Përzgjedhja e softuerit të synuar duket e përshtatur me përpikëri për të rritur gjasat e infektimit të objektivave të synuara të Koresë së Jugut.

Zbatimi i masave efektive kundër sulmeve malware

Kundërmasat efektive kundër infeksioneve të pasme përfshijnë një qasje shumështresore që synon parandalimin, zbulimin dhe reagimin. Këtu janë disa praktika më të mira:

  • Softueri i përditësuar i sigurisë : Sigurohuni që i gjithë softueri i sigurisë, duke përfshirë programet anti-malware, të përditësohen rregullisht për të zbuluar dhe hequr dyert e pasme dhe kërcënime të tjera.
  • Përditësimet e rregullta të softuerit : Sistemet operative, aplikacionet dhe firmueri duhet të kenë arnimet më të fundit të sigurisë për të zbutur dobësitë e njohura që shpesh shfrytëzojnë backdoors.
  • Segmentimi i rrjetit : Vendosni segmentimin e rrjetit për të izoluar sistemet kritike dhe për të kufizuar përhapjen e infeksioneve nëse ekziston një derë e pasme.
  • Kontrollet e forta të aksesit dhe vërtetimi : Zbatoni fjalëkalime të forta, zbatoni vërtetimin me shumë faktorë (MFA) dhe kufizoni privilegjet e aksesit për të zvogëluar mundësitë e aksesit të paautorizuar në sisteme.
  • Trajnimi i punonjësve : Edukoni punonjësit për taktikat e inxhinierisë sociale të përdorura për vendosjen e dyerve të pasme, të tilla si emailet e phishing, dhe inkurajojini ata të raportojnë menjëherë aktivitetet e dyshimta.
  • Lista e bardhë e aplikacioneve : Përdorni listën e bardhë të aplikacioneve vetëm për të lejuar ekzekutimin e programeve të miratuara, duke parandaluar ekzekutimin e softuerit të paautorizuar ose me qëllim të keq, duke përfshirë dyert e pasme.
  • Analiza e sjelljes : Përdorni mjete që monitorojnë sjelljen e sistemit për aktivitete anormale që tregojnë infeksione të prapambetura, të tilla si lidhjet e papritura të rrjetit ose modifikimet e skedarëve.
  • Auditimet e rregullta të sigurisë : Kryeni auditime rutinë të sigurisë dhe testime të depërtimit për të njohur dhe trajtuar dobësitë që mund të shfrytëzohen nga prapavija.
  • Rezervimi dhe rikuperimi : Zbatoni kopje rezervë të rregullt të të dhënave të ruajtura në një mjedis të pavarur për të zbutur ndikimin e një infeksioni në prapavijë dhe për të lehtësuar rikuperimin në rast të humbjes së të dhënave.

Duke adoptuar një qasje proaktive që kombinon masat parandaluese me aftësitë e fuqishme të zbulimit dhe reagimit, organizatat mund të rrisin elasticitetin e tyre ndaj infeksioneve të pasme dhe të zbusin në mënyrë efektive rreziqet e lidhura.

Në trend

Mashtrim me email për mbrojtjen e llogarisë

Phishing, Spam
Pas një ekzaminimi nga studiues të sigurisë së informacionit, u përcaktua menjëherë se emailet "Mbrojtja e llogarisë" janë mashtruese dhe pjesë e një skeme phishing. Qëllimi kryesor i këtyre emaileve mashtruese është që të joshin marrësit që të vizitojnë një faqe interneti phishing të krijuar për të mbledhur kredencialet e hyrjes së përdoruesve në llogaritë e tyre të postës elektronike....

Më e shikuara

Po ngarkohet...