Gomir Backdoor

కిమ్సుకీ గ్రూప్, స్ప్రింగ్‌టైల్ అని కూడా పిలుస్తారు, ఇది ఉత్తర కొరియా యొక్క రికనైసెన్స్ జనరల్ బ్యూరో (RGB)తో అనుబంధించబడిన అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT) సమూహం. ఇటీవలి పరిశీలనలు దక్షిణ కొరియా సంస్థలను లక్ష్యంగా చేసుకున్న ప్రచారంలో GoBear బ్యాక్‌డోర్ యొక్క Linux అనుసరణ యొక్క విస్తరణను వెల్లడిస్తున్నాయి.

గోమిర్ అని పిలువబడే ఈ బ్యాక్‌డోర్ GoBear యొక్క నిర్మాణాన్ని దగ్గరగా ప్రతిబింబిస్తుంది, రెండు మాల్వేర్ వెర్షన్‌ల మధ్య కోడ్ యొక్క ముఖ్యమైన అతివ్యాప్తిని కలిగి ఉంటుంది. ముఖ్యంగా, Gomir ఒక నిర్దిష్ట ఆపరేటింగ్ సిస్టమ్‌పై ఆధారపడిన GoBear నుండి ఎటువంటి కార్యాచరణలను కలిగి లేదు, ఇది పూర్తిగా లేకపోవడం లేదా Linux ఎన్విరాన్‌మెంట్‌లో అనుకూలత కోసం రీకాన్ఫిగర్ చేయబడింది.

గోమిర్ బ్యాక్‌డోర్ యొక్క పూర్వీకుడు బెదిరింపు మాల్వేర్‌ను అందించడానికి ఉపయోగించబడింది

ఫిబ్రవరి 2024 ప్రారంభంలో, ట్రోల్ స్టీలర్ అని పిలువబడే మాల్వేర్‌ను పంపిణీ చేసే ప్రచారానికి సంబంధించి పరిశోధకులు గోబేర్ యొక్క ఆవిర్భావాన్ని డాక్యుమెంట్ చేసారు, దీనిని ట్రోల్ ఏజెంట్ అని కూడా పిలుస్తారు. పోస్ట్-ఇన్ఫెక్షన్ మాల్వేర్ యొక్క తదుపరి పరిశీలన AppleSeed మరియు AlphaSeed వంటి స్థాపించబడిన కిమ్సుకీ మాల్వేర్ కుటుంబాలతో సారూప్యతలను వెల్లడించింది.

దక్షిణ కొరియా నిర్మాణ-సంబంధిత అసోసియేషన్‌తో అనుబంధించబడిన వెబ్‌సైట్ నుండి పొందిన ట్రోజనైజ్డ్ సెక్యూరిటీ ప్రోగ్రామ్‌ల ద్వారా మాల్వేర్ ప్రచారం చేయబడిందని తదుపరి విశ్లేషణలో కనుగొనబడింది, అయినప్పటికీ నిర్దిష్ట అనుబంధం బహిర్గతం కాలేదు. రాజీపడిన ప్రోగ్రామ్‌లలో nProtect ఆన్‌లైన్ సెక్యూరిటీ, NX_PRNMAN, TrustPKI, UbiReport మరియు WIZVERA VeraPort ఉన్నాయి. ముఖ్యంగా, WIZVERA VeraPort గతంలో 2020లో Lazarus గ్రూప్ నిర్వహించిన సరఫరా గొలుసు దాడిలో లక్ష్యంగా చేసుకుంది.

అదనంగా, Wizvera VeraPort కోసం రూపొందించిన చట్టవిరుద్ధమైన ఇన్‌స్టాలర్‌ల ద్వారా ట్రోల్ స్టీలర్ మాల్వేర్ వ్యాప్తి చెందుతుందని గుర్తించబడింది. అయితే, ఈ ఇన్‌స్టాలేషన్ ప్యాకేజీలను పంపిణీ చేయడానికి ఉపయోగించే నిర్దిష్ట పద్ధతి ప్రస్తుతం తెలియదు.

గోమిర్ బ్యాక్‌డోర్ ప్రత్యేకంగా Linux సిస్టమ్‌లకు హాని కలిగించేలా రూపొందించబడింది

GoBear ఫంక్షన్ పేర్లలో BetaSeed అనే పాత స్ప్రింగ్‌టైల్ బ్యాక్‌డోర్‌తో పోలికలను ప్రదర్శిస్తుంది, ఇది C++లో వ్రాయబడింది, ఇది రెండు బెదిరింపుల మధ్య సంభావ్య సాధారణ మూలాన్ని సూచిస్తుంది. ఈ మాల్వేర్ రిమోట్ సర్వర్ నుండి ఆదేశాలను అమలు చేయగల సామర్థ్యాలను కలిగి ఉంది మరియు కొరియన్ రవాణా సంస్థతో అనుబంధించబడిన అప్లికేషన్ కోసం నకిలీ ఇన్‌స్టాలర్‌ల వలె మారువేషంలో ఉన్న డ్రాపర్‌ల ద్వారా వ్యాపిస్తుంది.

దాని Linux వేరియంట్, Gomir, 17 ఆదేశాల సమితిని కలిగి ఉంది, దాడి చేసేవారికి ఫైల్ కార్యకలాపాలను నిర్వహించడానికి, రివర్స్ ప్రాక్సీని ప్రారంభించేందుకు, కమాండ్-అండ్-కంట్రోల్ (C2) కమ్యూనికేషన్‌లను తాత్కాలికంగా ఆపడానికి, షెల్ ఆదేశాలను అమలు చేయడానికి మరియు దాని స్వంత ప్రక్రియను ముగించడానికి అధికారం ఇస్తుంది.

ఈ ఇటీవలి కిమ్సుకీ ప్రచారం సాఫ్ట్‌వేర్ ఇన్‌స్టాలేషన్ ప్యాకేజీలు మరియు అప్‌డేట్‌లను ఉత్తర కొరియా గూఢచర్య నటులకు ప్రాధాన్య సంక్రమణ వెక్టర్‌లుగా మార్చడాన్ని నొక్కి చెబుతుంది. లక్ష్య సాఫ్ట్‌వేర్ ఎంపిక ఉద్దేశించిన దక్షిణ కొరియా లక్ష్యాలను సంక్రమించే సంభావ్యతను మెరుగుపరచడానికి ఖచ్చితంగా రూపొందించబడింది.

మాల్వేర్ దాడులకు వ్యతిరేకంగా ప్రభావవంతమైన చర్యలను అమలు చేయండి

బ్యాక్‌డోర్ ఇన్‌ఫెక్షన్‌లకు వ్యతిరేకంగా సమర్థవంతమైన ప్రతిఘటనలు నివారణ, గుర్తింపు మరియు ప్రతిస్పందన లక్ష్యంగా బహుళ-లేయర్డ్ విధానాన్ని కలిగి ఉంటాయి. ఇక్కడ కొన్ని ఉత్తమ పద్ధతులు ఉన్నాయి:

• అప్-టు-డేట్ సెక్యూరిటీ సాఫ్ట్‌వేర్ : బ్యాక్‌డోర్‌లు మరియు ఇతర బెదిరింపులను గుర్తించడానికి మరియు తీసివేయడానికి యాంటీ-మాల్వేర్ ప్రోగ్రామ్‌లతో సహా అన్ని భద్రతా సాఫ్ట్‌వేర్‌లు క్రమం తప్పకుండా నవీకరించబడతాయని నిర్ధారించుకోండి.
• సాధారణ సాఫ్ట్‌వేర్ అప్‌డేట్‌లు : బ్యాక్‌డోర్‌లు తరచుగా దోపిడీ చేసే తెలిసిన దుర్బలత్వాలను తగ్గించడానికి ఆపరేటింగ్ సిస్టమ్‌లు, అప్లికేషన్‌లు మరియు ఫర్మ్‌వేర్ తాజా భద్రతా ప్యాచ్‌లను కలిగి ఉండాలి.
• నెట్‌వర్క్ సెగ్మెంటేషన్ : క్లిష్టమైన సిస్టమ్‌లను వేరుచేయడానికి మరియు బ్యాక్‌డోర్ ఉన్నట్లయితే ఇన్‌ఫెక్షన్ల వ్యాప్తిని పరిమితం చేయడానికి నెట్‌వర్క్ సెగ్మెంటేషన్‌ను సెటప్ చేయండి.
• బలమైన యాక్సెస్ నియంత్రణలు మరియు ప్రామాణీకరణ : బలమైన పాస్‌వర్డ్‌లను అమలు చేయండి, బహుళ-కారకాల ప్రమాణీకరణ (MFA)ను అమలు చేయండి మరియు సిస్టమ్‌లకు అనధికార ప్రాప్యత అవకాశాలను తగ్గించడానికి యాక్సెస్ అధికారాలను పరిమితం చేయండి.
• ఉద్యోగుల శిక్షణ : ఫిషింగ్ ఇమెయిల్‌లు వంటి బ్యాక్‌డోర్‌లను అమలు చేయడానికి ఉపయోగించే సోషల్ ఇంజనీరింగ్ వ్యూహాల గురించి ఉద్యోగులకు అవగాహన కల్పించండి మరియు అనుమానాస్పద కార్యకలాపాలను వెంటనే నివేదించమని వారిని ప్రోత్సహించండి.
• అప్లికేషన్ వైట్‌లిస్టింగ్ : ఆమోదించబడిన ప్రోగ్రామ్‌లను అమలు చేయడానికి అనుమతించడానికి మాత్రమే అప్లికేషన్ వైట్‌లిస్టింగ్‌ని ఉపయోగించండి, బ్యాక్‌డోర్‌లతో సహా అనధికార లేదా హానికరమైన సాఫ్ట్‌వేర్‌ను అమలు చేయకుండా నిరోధించండి.
• ప్రవర్తనా విశ్లేషణ : ఊహించని నెట్‌వర్క్ కనెక్షన్‌లు లేదా ఫైల్ సవరణలు వంటి బ్యాక్‌డోర్ ఇన్‌ఫెక్షన్‌లను సూచించే క్రమరహిత కార్యకలాపాల కోసం సిస్టమ్ ప్రవర్తనను పర్యవేక్షించే సాధనాలను ఉపయోగించుకోండి.
• రెగ్యులర్ సెక్యూరిటీ ఆడిట్‌లు : బ్యాక్‌డోర్‌ల ద్వారా ఉపయోగించబడే దుర్బలత్వాలను గుర్తించడానికి మరియు పరిష్కరించడానికి సాధారణ భద్రతా ఆడిట్‌లు మరియు చొచ్చుకుపోయే పరీక్షలను నిర్వహించండి.
• బ్యాకప్ మరియు రికవరీ : బ్యాక్‌డోర్ ఇన్‌ఫెక్షన్ ప్రభావాన్ని తగ్గించడానికి మరియు డేటా నష్టం జరిగినప్పుడు రికవరీని సులభతరం చేయడానికి స్వతంత్ర వాతావరణంలో నిల్వ చేయబడిన సాధారణ డేటా బ్యాకప్‌లను అమలు చేయండి.

బలమైన గుర్తింపు మరియు ప్రతిస్పందన సామర్థ్యాలతో నివారణ చర్యలను మిళితం చేసే చురుకైన విధానాన్ని అవలంబించడం ద్వారా, సంస్థలు బ్యాక్‌డోర్ ఇన్‌ఫెక్షన్‌లకు వ్యతిరేకంగా వారి స్థితిస్థాపకతను పెంచుతాయి మరియు సంబంధిత ప్రమాదాలను సమర్థవంతంగా తగ్గించగలవు.