Gomir Backdoor

கிம்சுகி குழு, ஸ்பிரிங்டெயில் என்றும் அழைக்கப்படுகிறது, இது வட கொரியாவின் உளவுத்துறை பொது பணியகத்துடன் (RGB) தொடர்புடைய ஒரு மேம்பட்ட நிலையான அச்சுறுத்தல் (APT) குழுவாகும். சமீபத்திய அவதானிப்புகள் தென் கொரிய நிறுவனங்களை இலக்காகக் கொண்ட ஒரு பிரச்சாரத்திற்குள் GoBear பின்கதவின் லினக்ஸ் தழுவலின் வரிசைப்படுத்தலை வெளிப்படுத்துகின்றன.

கோமிர் என்று பெயரிடப்பட்ட இந்த பின்கதவு GoBear இன் கட்டமைப்பை நெருக்கமாக பிரதிபலிக்கிறது, இதில் இரண்டு மால்வேர் பதிப்புகளுக்கு இடையே குறிப்பிடத்தக்க ஒன்றுடன் ஒன்று குறியீடு உள்ளது. குறிப்பிடத்தக்க வகையில், Gomir இல் GoBear இல் இருந்து எந்த செயல்பாடும் இல்லை, அவை ஒரு குறிப்பிட்ட இயக்க முறைமையைச் சார்ந்தது, அவை முற்றிலும் இல்லாதது அல்லது Linux சூழலில் இணக்கத்தன்மைக்காக மறுகட்டமைக்கப்பட்டது.

அச்சுறுத்தும் தீம்பொருளை வழங்க கோமிர் பேக்டோரின் முன்னோடி பயன்படுத்தப்பட்டது

பிப்ரவரி 2024 இன் தொடக்கத்தில், ட்ரோல் ஸ்டீலர் எனப்படும் தீம்பொருளை ட்ரோல் ஏஜென்ட் என்றும் விநியோகித்த பிரச்சாரம் தொடர்பாக GoBear இன் தோற்றத்தை ஆராய்ச்சியாளர்கள் ஆவணப்படுத்தினர். தொற்றுக்குப் பிந்தைய மால்வேரை மேலும் ஆய்வு செய்ததில், நிறுவப்பட்ட கிம்சுகி மால்வேர் குடும்பங்களான AppleSeed மற்றும் AlphaSeed போன்றவற்றுடன் ஒற்றுமைகள் இருப்பது தெரியவந்தது.

தென் கொரிய கட்டுமானம் தொடர்பான சங்கத்துடன் தொடர்புடைய இணையதளத்தில் இருந்து பெறப்பட்ட ட்ரோஜனேற்றப்பட்ட பாதுகாப்புத் திட்டங்கள் மூலம் தீம்பொருள் பரப்பப்படுகிறது என்பதை அடுத்தடுத்த பகுப்பாய்வு கண்டறிந்தது, இருப்பினும் குறிப்பிட்ட சங்கம் வெளியிடப்படவில்லை. சமரசம் செய்யப்பட்ட திட்டங்களில் nProtect ஆன்லைன் பாதுகாப்பு, NX_PRNMAN, TrustPKI, UbiReport மற்றும் WIZVERA VeraPort ஆகியவை அடங்கும். WIZVERA VeraPort முன்னர் 2020 இல் Lazarus குழுவால் நடத்தப்பட்ட விநியோக சங்கிலி தாக்குதலில் குறிவைக்கப்பட்டது குறிப்பிடத்தக்கது.

கூடுதலாக, Wizvera VeraPort க்காக வடிவமைக்கப்பட்ட முறையற்ற நிறுவிகள் மூலம் Troll Stealer தீம்பொருள் பரப்பப்படுகிறது என்பது குறிப்பிடத்தக்கது. இருப்பினும், இந்த நிறுவல் தொகுப்புகளை விநியோகிக்கப் பயன்படுத்தப்படும் குறிப்பிட்ட முறை தற்போது அறியப்படவில்லை.

கோமிர் பின்கதவு குறிப்பாக லினக்ஸ் சிஸ்டம்களை பாதிக்க வடிவமைக்கப்பட்டுள்ளது

GoBear ஆனது C++ இல் எழுதப்பட்ட BetaSeed எனப்படும் பழைய ஸ்பிரிங்டெயில் பின்கதவுடன் செயல்பாட்டுப் பெயர்களில் ஒற்றுமையை வெளிப்படுத்துகிறது, இது இரண்டு அச்சுறுத்தல்களுக்கு இடையே சாத்தியமான பொதுவான தோற்றத்தைக் குறிக்கிறது. இந்த தீம்பொருள் ரிமோட் சர்வரிலிருந்து கட்டளைகளை இயக்கும் திறன்களைக் கொண்டுள்ளது மற்றும் கொரிய போக்குவரத்து நிறுவனத்துடன் தொடர்புடைய பயன்பாட்டிற்கான போலி நிறுவிகளாக மாறுவேடமிட்டு டிராப்பர்கள் மூலம் பரவுகிறது.

அதன் லினக்ஸ் மாறுபாடு, கோமிர், 17 கட்டளைகளின் தொகுப்பைக் கொண்டுள்ளது, தாக்குபவர்களுக்கு கோப்பு செயல்பாடுகளை நடத்தவும், ரிவர்ஸ் ப்ராக்ஸியைத் தொடங்கவும், கட்டளை மற்றும் கட்டுப்பாடு (C2) தகவல்தொடர்புகளை தற்காலிகமாக நிறுத்தவும், ஷெல் கட்டளைகளை இயக்கவும் மற்றும் அதன் சொந்த செயல்முறையை நிறுத்தவும் உதவுகிறது.

இந்த சமீபத்திய Kimsuky பிரச்சாரம் வட கொரிய உளவு நடிகர்களுக்கு விருப்பமான தொற்று திசையன்களாக மென்பொருள் நிறுவல் தொகுப்புகள் மற்றும் புதுப்பிப்புகளை நோக்கி நகர்வதை அடிக்கோடிட்டுக் காட்டுகிறது. இலக்கு வைக்கப்பட்ட மென்பொருளின் தேர்வு, தென் கொரிய இலக்குகளைத் தாக்கும் வாய்ப்பை மேம்படுத்தும் வகையில் துல்லியமாக வடிவமைக்கப்பட்டுள்ளது.

மால்வேர் தாக்குதல்களுக்கு எதிராக பயனுள்ள நடவடிக்கைகளை செயல்படுத்தவும்

பின்கதவு நோய்த்தொற்றுகளுக்கு எதிரான பயனுள்ள எதிர் நடவடிக்கைகள் தடுப்பு, கண்டறிதல் மற்றும் பதிலளிப்பதை நோக்கமாகக் கொண்ட பல அடுக்கு அணுகுமுறையை உள்ளடக்கியது. இங்கே சில சிறந்த நடைமுறைகள் உள்ளன:

• புதுப்பித்த பாதுகாப்பு மென்பொருள் : மால்வேர் எதிர்ப்பு நிரல்கள் உட்பட அனைத்து பாதுகாப்பு மென்பொருட்களும் பின்கதவுகள் மற்றும் பிற அச்சுறுத்தல்களைக் கண்டறிந்து அகற்றுவதற்குத் தொடர்ந்து புதுப்பிக்கப்படுவதை உறுதிசெய்யவும்.
• வழக்கமான மென்பொருள் புதுப்பிப்புகள் : இயக்க முறைமைகள், பயன்பாடுகள் மற்றும் ஃபார்ம்வேர் ஆகியவை பின்கதவுகள் அடிக்கடி பயன்படுத்தும் அறியப்பட்ட பாதிப்புகளைத் தணிக்க சமீபத்திய பாதுகாப்பு இணைப்புகளைக் கொண்டிருக்க வேண்டும்.
• நெட்வொர்க் பிரிவு : முக்கியமான அமைப்புகளைத் தனிமைப்படுத்தவும், பின்கதவு இருந்தால் தொற்று பரவுவதைக் கட்டுப்படுத்தவும் பிணையப் பிரிவை அமைக்கவும்.
• வலுவான அணுகல் கட்டுப்பாடுகள் மற்றும் அங்கீகாரம் : வலுவான கடவுச்சொற்களைச் செயல்படுத்துதல், பல காரணி அங்கீகாரத்தை (MFA) செயல்படுத்துதல் மற்றும் கணினிகளுக்கான அங்கீகரிக்கப்படாத அணுகல் வாய்ப்புகளைக் குறைக்க அணுகல் சலுகைகளை கட்டுப்படுத்துதல்.
• பணியாளர் பயிற்சி : ஃபிஷிங் மின்னஞ்சல்கள் போன்ற பின் கதவுகளை வரிசைப்படுத்தப் பயன்படுத்தப்படும் சமூக பொறியியல் தந்திரங்களைப் பற்றி ஊழியர்களுக்குக் கற்பித்தல் மற்றும் சந்தேகத்திற்கிடமான நடவடிக்கைகளை உடனடியாகப் புகாரளிக்க அவர்களை ஊக்குவிக்கவும்.
• விண்ணப்ப ஏற்புப்பட்டியல் : அங்கீகரிக்கப்பட்ட நிரல்களை இயக்க அனுமதிக்க மட்டுமே பயன்பாட்டு அனுமதிப்பட்டியலைப் பயன்படுத்தவும், பின்கதவுகள் உட்பட அங்கீகரிக்கப்படாத அல்லது தீங்கிழைக்கும் மென்பொருளை செயல்படுத்துவதைத் தடுக்கிறது.
• நடத்தை பகுப்பாய்வு : எதிர்பாராத நெட்வொர்க் இணைப்புகள் அல்லது கோப்பு மாற்றங்கள் போன்ற பின்கதவு நோய்த்தொற்றுகளைக் குறிக்கும் முரண்பாடான செயல்பாடுகளுக்கு கணினி நடத்தையை கண்காணிக்கும் கருவிகளைப் பயன்படுத்தவும்.
• வழக்கமான பாதுகாப்பு தணிக்கைகள் : பின்கதவுகளால் சுரண்டப்படக்கூடிய பாதிப்புகளைக் கண்டறிந்து நிவர்த்தி செய்ய வழக்கமான பாதுகாப்பு தணிக்கைகள் மற்றும் ஊடுருவல் சோதனைகளை நடத்துங்கள்.
• காப்புப் பிரதி மற்றும் மீட்பு : பின்கதவு நோய்த்தொற்றின் தாக்கத்தைத் தணிக்க மற்றும் தரவு இழப்பு ஏற்பட்டால் மீட்டெடுப்பதற்கு வசதியாக ஒரு சுயாதீன சூழலில் சேமிக்கப்பட்ட வழக்கமான தரவு காப்புப்பிரதிகளை செயல்படுத்தவும்.

வலுவான கண்டறிதல் மற்றும் பதிலளிப்பு திறன்களுடன் தடுப்பு நடவடிக்கைகளை ஒருங்கிணைக்கும் ஒரு செயலூக்கமான அணுகுமுறையை மேற்கொள்வதன் மூலம், நிறுவனங்கள் பின்கதவு நோய்த்தொற்றுகளுக்கு எதிராக தங்கள் பின்னடைவை மேம்படுத்தலாம் மற்றும் அதனுடன் தொடர்புடைய அபாயங்களை திறம்பட குறைக்கலாம்.