Multi-License Discount Quote
Тхреат Датабасе Backdoors Gomir Backdoor

Gomir Backdoor

До Mezo. у Backdoors, Advanced Persistent Threat (APT)
Преведи на:
Српски

Група Кимсуки, такође позната као Спрингтаил, је група за напредну трајну претњу (АПТ) повезана са Генералним бироом за извиђање Северне Кореје (РГБ). Недавна запажања откривају њихову примену Линук адаптације ГоБеар бацкдоор-а у оквиру кампање усмерене на јужнокорејске ентитете.

Назван Гомир, овај бацкдоор блиско одражава структуру ГоБеар-а, са значајним преклапањем кода између две верзије малвера. Нарочито, Гомиру недостају било какве функције из ГоБеара које зависе од одређеног оперативног система, или су потпуно одсутне или су реконфигурисане за компатибилност у оквиру Линук окружења.

Претходник Гомир Бацкдоор-а је коришћен за испоруку претећег злонамерног софтвера

Почетком фебруара 2024. истраживачи су документовали појаву ГоБеара у вези са кампањом која је дистрибуирала малвер познат као Тролл Стеалер , такође назван ТроллАгент. Даље испитивање малвера након инфекције открило је сличности са утврђеним породицама малвера Кимсуки као што су АпплеСеед и АлпхаСеед.

Накнадна анализа открила је да се малвер пропагира кроз тројанизоване безбедносне програме добијене са веб странице повезане са јужнокорејским удружењем у вези са грађевинарством, иако конкретна повезаност остаје неоткривена. Компромитовани програми укључују нПротецт Онлине Сецурити, НКС_ПРНМАН, ТрустПКИ, УбиРепорт и ВИЗВЕРА ВераПорт. Посебно, ВИЗВЕРА ВераПорт је раније био мета напада на ланац снабдевања који је извела Лазарус група 2020.

Поред тога, примећено је да се малвер Тролл Стеалер шири преко нелегитимних инсталатера дизајнираних за Визвера ВераПорт. Међутим, специфичан метод који се користи за дистрибуцију ових инсталационих пакета остаје тренутно непознат.

Гомир Бацкдоор је дизајниран посебно да инфицира Линук системе

ГоБеар показује сличности у називима функција са старијим Спрингтаил бацкдоор-ом под називом БетаСеед, написаним у Ц++, што указује на потенцијално заједничко порекло између две претње. Овај злонамерни софтвер је опремљен могућностима за извршавање команди са удаљеног сервера и шири се путем капалица прерушених у лажне инсталатере за апликацију која је повезана са корејском транспортном организацијом.

Његова Линук варијанта, Гомир, има скуп од 17 команди, овлашћујући нападаче да спроводе операције са датотекама, иницирају обрнути прокси, привремено заустављају Цомманд-анд-Цонтрол (Ц2) комуникацију, извршавају команде љуске и прекидају сопствени процес.

Ова недавна Кимсуки кампања наглашава помак ка пакетима за инсталацију софтвера и ажурирањима као преферираним векторима инфекције за актере шпијунаже у Сјеверној Кореји. Чини се да је избор циљаног софтвера помно скројен како би се повећала вероватноћа заразе намераваних јужнокорејских циљева.

Спроведите ефикасне мере против напада злонамерног софтвера

Ефикасне противмере против заразних инфекција укључују вишеслојни приступ усмерен на превенцију, откривање и реаговање. Ево неколико најбољих пракси:

  • Ажурирани безбедносни софтвер : Уверите се да се сав безбедносни софтвер, укључујући програме за заштиту од малвера, редовно ажурира да би се открила и уклонила позадинска врата и друге претње.
  • Редовно ажурирање софтвера : Оперативни системи, апликације и фирмвер би требало да имају најновије безбедносне закрпе да би се ублажиле познате рањивости које бацкдоор често искоришћава.
  • Сегментација мреже : Подесите сегментацију мреже да бисте изоловали критичне системе и ограничили ширење инфекција ако је присутна позадинска врата.
  • Јаке контроле приступа и аутентикација : Примените јаке лозинке, имплементирајте вишефакторску аутентификацију (МФА) и ограничите привилегије приступа да бисте смањили могућности неовлашћеног приступа системима.
  • Обука запослених : Образујте запослене о тактикама друштвеног инжењеринга које се користе за постављање бацкдоор-а, као што су пхисхинг е-поруке, и подстакните их да одмах пријаве сумњиве активности.
  • Бела листа апликација : Користите белу листу апликација само да бисте дозволили покретање одобрених програма, спречавајући извршавање неовлашћеног или злонамерног софтвера, укључујући бацкдоор.
  • Анализа понашања : Користите алате који надгледају понашање система за аномалне активности које указују на заразе у позадини, као што су неочекиване мрежне везе или модификације датотека.
  • Редовне безбедносне ревизије : Спроведите рутинске безбедносне ревизије и тестирање пенетрације да бисте препознали и адресирали рањивости које би могли да искористе позадинска врата.
  • Прављење резервних копија и опоравак : Спроведите редовне резервне копије података ускладиштених у независном окружењу да бисте ублажили утицај бацкдоор инфекције и олакшали опоравак у случају губитка података.

Усвајањем проактивног приступа који комбинује превентивне мере са снажним могућностима откривања и реаговања, организације могу да побољшају своју отпорност на инфекције у позадини и ефикасно ублаже повезане ризике.

У тренду

Превара е-поште за заштиту налога

Phishing, Spam
Након испитивања од стране истраживача безбедности информација, одмах је утврђено да су е-поруке 'Заштита налога' варљиве и део шеме за крађу идентитета. Примарни циљ ових лажних е-порука је да наведу примаоце да посете веб локацију за пхисхинг дизајнирану да прикупи акредитиве за пријаву корисника на њихове налоге е-поште. Превара е-поште за заштиту налога може да угрози осетљиве...

Најгледанији

Превара е-поште 'Геек Скуад'

Phishing, Spam
40,817
Геек Скуад, популарни провајдер техничке подршке, постао је жртва пхисхинг преваре под називом Геек Скуад Емаил превара. Ова превара са техничком подршком користи лажне е-поруке које преваре људе да дају своје личне податке, као што су подаци о кредитној картици, адресе е-поште, па чак и бројеви социјалног осигурања. У овом чланку ћемо разговарати о самој превари, како она изгледа, одакле...
Учитавање...