Gomir Bakdörr

Kimsuky-gruppen, även känd som Springtail, är en Advanced Persistent Threat (APT)-grupp associerad med Nordkoreas Reconnaissance General Bureau (RGB). Senaste observationer avslöjar deras utplacering av en Linux-anpassning av GoBear-bakdörren inom en kampanj riktad mot sydkoreanska enheter.

Denna bakdörr, som heter Gomir, speglar nära GoBears struktur, med en betydande överlappning av kod mellan de två skadliga versionerna. Noterbart är att Gomir saknar alla funktioner från GoBear som är beroende av ett specifikt operativsystem, antingen helt frånvarande eller omkonfigurerade för kompatibilitet inom Linux-miljön.

Gomir Backdoors föregångare har använts för att leverera hotande skadlig programvara

I början av februari 2024 dokumenterade forskare uppkomsten av GoBear i samband med en kampanj som distribuerade skadlig programvara känd som Troll Stealer , även kallad TrollAgent. Ytterligare undersökningar av skadlig programvara efter infektion avslöjade likheter med etablerade Kimsuky-skadliga programfamiljer som AppleSeed och AlphaSeed.

Efterföljande analys avslöjade att skadlig programvara sprids genom trojaniserade säkerhetsprogram som erhållits från en webbplats associerad med en sydkoreansk konstruktionsrelaterad förening, även om den specifika kopplingen förblir okänd. De komprometterade programmen inkluderar nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport och WIZVERA VeraPort. WIZVERA VeraPort hade tidigare varit måltavla i en supply chain-attack utförd av Lazarus Group 2020.

Dessutom har det noterats att skadlig programvara Troll Stealer sprids genom illegitima installationsprogram designade för Wizvera VeraPort. Den specifika metoden som används för att distribuera dessa installationspaket är dock fortfarande okänd.

Gomir-bakdörren är utformad speciellt för att infektera Linux-system

GoBear uppvisar likheter i funktionsnamn med en äldre Springtail-bakdörr som heter BetaSeed, skriven i C++, vilket indikerar ett potentiellt gemensamt ursprung mellan de två hoten. Denna skadliga programvara är utrustad med kapacitet att utföra kommandon från en fjärrserver och sprids genom droppare förklädda som förfalskade installatörer för en applikation som är associerad med en koreansk transportorganisation.

Dess Linux-variant, Gomir, har en uppsättning av 17 kommandon, som ger angriparna möjlighet att utföra filoperationer, initiera en omvänd proxy, tillfälligt stoppa Command-and-Control (C2)-kommunikation, utföra skalkommandon och avsluta sin egen process.

Denna nyligen genomförda Kimsuky-kampanj understryker övergången till programvaruinstallationspaket och uppdateringar som föredragna infektionsvektorer för nordkoreanska spionageaktörer. Urvalet av riktad programvara verkar noggrant skräddarsytt för att öka sannolikheten för att infektera avsedda sydkoreanska mål.

Implementera effektiva åtgärder mot attacker med skadlig programvara

Effektiva motåtgärder mot bakdörrsinfektioner involverar ett mångskiktat tillvägagångssätt som syftar till förebyggande, upptäckt och respons. Här är några bästa metoder:

• Uppdaterad säkerhetsprogramvara : Se till att all säkerhetsprogramvara, inklusive anti-malware-program, uppdateras regelbundet för att upptäcka och ta bort bakdörrar och andra hot.
• Regelbundna programuppdateringar : Operativsystem, applikationer och firmware bör ha de senaste säkerhetskorrigeringarna för att mildra kända sårbarheter som bakdörrar ofta utnyttjar.
• Nätverkssegmentering : Ställ in nätverkssegmentering för att isolera kritiska system och begränsa spridningen av infektioner om en bakdörr finns.
• Starka åtkomstkontroller och autentisering : Framtvinga starka lösenord, implementera multifaktorautentisering (MFA) och begränsa åtkomstprivilegier för att minska möjligheterna för obehörig åtkomst till system.
• Utbildning för anställda : Utbilda anställda om sociala ingenjörstaktik som används för att distribuera bakdörrar, såsom nätfiske-e-post, och uppmuntra dem att rapportera misstänkta aktiviteter omgående.
• Applikationsvitlistning : Använd endast appvitlistning för att tillåta godkända program att köras, vilket förhindrar att obehörig eller skadlig programvara, inklusive bakdörrar, körs.
• Beteendeanalys : Använd verktyg som övervakar systemets beteende för onormala aktiviteter som tyder på bakdörrsinfektioner, såsom oväntade nätverksanslutningar eller filändringar.
• Regelbundna säkerhetsrevisioner : Genomför rutinmässiga säkerhetsrevisioner och penetrationstester för att identifiera och åtgärda sårbarheter som kan utnyttjas av bakdörrar.
• Säkerhetskopiering och återställning : Genomför regelbundna säkerhetskopieringar av data som lagras i en oberoende miljö för att mildra effekterna av en bakdörrsinfektion och underlätta återställningen vid dataförlust.

Genom att anta ett proaktivt tillvägagångssätt som kombinerar förebyggande åtgärder med robusta detektions- och svarsmöjligheter, kan organisationer förbättra sin motståndskraft mot bakdörrsinfektioner och effektivt mildra de associerade riskerna.