Gomir Backdoor

กลุ่ม Kimsuky หรือที่รู้จักกันในชื่อ Springtail เป็นกลุ่มภัยคุกคามขั้นสูง (APT) ที่เกี่ยวข้องกับสำนักงานลาดตระเวนทั่วไป (RGB) ของเกาหลีเหนือ ข้อสังเกตล่าสุดเผยให้เห็นถึงการใช้งาน Linux ที่ดัดแปลงมาจากประตูหลัง GoBear ภายในแคมเปญที่มุ่งเป้าไปที่หน่วยงานของเกาหลีใต้

ชื่อ Gomir ประตูหลังนี้สะท้อนโครงสร้างของ GoBear อย่างใกล้ชิด โดยมีโค้ดที่ทับซ้อนกันอย่างมีนัยสำคัญระหว่างมัลแวร์ทั้งสองเวอร์ชัน น่าสังเกตที่ Gomir ขาดฟังก์ชันการทำงานใดๆ จาก GoBear ที่ขึ้นอยู่กับระบบปฏิบัติการเฉพาะ ไม่ว่าจะหายไปเลยหรือกำหนดค่าใหม่เพื่อให้เข้ากันได้ภายในสภาพแวดล้อม Linux

ผู้บุกเบิก Gomir Backdoor ถูกใช้เพื่อส่งมัลแวร์ที่เป็นอันตราย

ในช่วงต้นเดือนกุมภาพันธ์ 2024 นักวิจัยได้บันทึกการเกิดขึ้นของ GoBear ที่เกี่ยวข้องกับแคมเปญที่เผยแพร่มัลแวร์ที่เรียกว่า Troll Stealer หรือที่เรียกว่า TrollAgent การตรวจสอบมัลแวร์หลังการติดเชื้อเพิ่มเติมเผยให้เห็นความคล้ายคลึงกับตระกูลมัลแวร์ Kimsuky ที่เป็นที่ยอมรับ เช่น AppleSeed และ AlphaSeed

การวิเคราะห์ภายหลังพบว่ามัลแวร์แพร่กระจายผ่านโปรแกรมรักษาความปลอดภัยแบบโทรจันที่ได้รับจากเว็บไซต์ที่เกี่ยวข้องกับสมาคมที่เกี่ยวข้องกับการก่อสร้างของเกาหลีใต้ แม้ว่าการเชื่อมโยงเฉพาะจะยังคงไม่เปิดเผยก็ตาม โปรแกรมที่ถูกบุกรุก ได้แก่ nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport และ WIZVERA VeraPort โดยเฉพาะอย่างยิ่ง WIZVERA VeraPort เคยตกเป็นเป้าหมายในการโจมตีห่วงโซ่อุปทานที่ดำเนินการโดย Lazarus Group ในปี 2020

นอกจากนี้ ยังมีข้อสังเกตอีกว่ามัลแวร์ Troll Stealer กำลังแพร่กระจายผ่านตัวติดตั้งที่ผิดกฎหมายซึ่งออกแบบมาสำหรับ Wizvera VeraPort อย่างไรก็ตาม วิธีการเฉพาะที่ใช้ในการแจกจ่ายแพ็คเกจการติดตั้งเหล่านี้ยังไม่ทราบในขณะนี้

Gomir Backdoor ได้รับการออกแบบมาโดยเฉพาะเพื่อโจมตีระบบ Linux

GoBear จัดแสดงความคล้ายคลึงในชื่อฟังก์ชันกับแบ็คดอร์ Springtail รุ่นเก่าที่เรียกว่า BetaSeed ซึ่งเขียนด้วยภาษา C++ ซึ่งบ่งชี้ถึงต้นกำเนิดที่เป็นไปได้ร่วมกันระหว่างภัยคุกคามทั้งสอง มัลแวร์นี้มาพร้อมกับความสามารถในการรันคำสั่งจากเซิร์ฟเวอร์ระยะไกล และแพร่กระจายผ่าน droppers ซึ่งปลอมตัวเป็นผู้ติดตั้งปลอมสำหรับแอปพลิเคชันที่เกี่ยวข้องกับองค์กรขนส่งของเกาหลี

Gomir เวอร์ชันลินุกซ์มีชุดคำสั่ง 17 คำสั่ง ซึ่งเพิ่มขีดความสามารถให้ผู้โจมตีดำเนินการกับไฟล์ เริ่มต้น Reverse proxy หยุดการสื่อสาร Command-and-Control (C2) ชั่วคราว รันคำสั่งเชลล์ และยุติกระบวนการของตัวเอง

แคมเปญ Kimsuky ล่าสุดนี้เน้นย้ำถึงการเปลี่ยนแปลงไปสู่แพ็คเกจการติดตั้งซอฟต์แวร์และการอัพเดต เนื่องจากเป็นช่องทางการติดไวรัสที่ต้องการสำหรับนักแสดงจารกรรมชาวเกาหลีเหนือ การเลือกซอฟต์แวร์ที่กำหนดเป้าหมายนั้นได้รับการออกแบบมาอย่างพิถีพิถันเพื่อเพิ่มโอกาสในการแพร่เชื้อไปยังเป้าหมายในเกาหลีใต้

ใช้มาตรการที่มีประสิทธิภาพต่อการโจมตีมัลแวร์

มาตรการตอบโต้ที่มีประสิทธิผลต่อการติดเชื้อประตูหลังเกี่ยวข้องกับแนวทางหลายชั้นที่มุ่งเป้าไปที่การป้องกัน การตรวจจับ และการตอบสนอง ต่อไปนี้เป็นแนวทางปฏิบัติที่ดีที่สุดบางส่วน:

• ซอฟต์แวร์ความปลอดภัยที่ทันสมัย : ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ความปลอดภัยทั้งหมด รวมถึงโปรแกรมป้องกันมัลแวร์ได้รับการอัปเดตเป็นประจำเพื่อตรวจจับและลบแบ็คดอร์และภัยคุกคามอื่น ๆ
• การอัปเดตซอฟต์แวร์เป็นประจำ : ระบบปฏิบัติการ แอปพลิเคชัน และเฟิร์มแวร์ควรมีแพตช์รักษาความปลอดภัยล่าสุดเพื่อบรรเทาช่องโหว่ที่ทราบซึ่งแบ็คดอร์มักหาประโยชน์
• การแบ่งส่วนเครือข่าย : ตั้งค่าการแบ่งส่วนเครือข่ายเพื่อแยกระบบที่สำคัญและจำกัดการแพร่กระจายของการติดไวรัสหากมีประตูหลัง
• การควบคุมการเข้าถึงและการตรวจสอบสิทธิ์ที่รัดกุม : บังคับใช้รหัสผ่านที่รัดกุม ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) และจำกัดสิทธิ์การเข้าถึงเพื่อลดโอกาสในการเข้าถึงระบบโดยไม่ได้รับอนุญาต
• การฝึกอบรมพนักงาน : ให้ความรู้พนักงานเกี่ยวกับกลยุทธ์วิศวกรรมสังคมที่ใช้ในการปรับใช้แบ็คดอร์ เช่น อีเมลฟิชชิ่ง และสนับสนุนให้พวกเขารายงานกิจกรรมที่น่าสงสัยทันที
• รายการที่อนุญาตพิเศษของแอปพลิเคชัน : ใช้รายการแอปพลิเคชันที่อนุญาตเฉพาะเพื่ออนุญาตให้โปรแกรมที่ได้รับอนุมัติทำงานเท่านั้น เพื่อป้องกันไม่ให้ซอฟต์แวร์ที่ไม่ได้รับอนุญาตหรือเป็นอันตราย รวมถึงแบ็คดอร์ทำงาน
• การวิเคราะห์พฤติกรรม : ใช้เครื่องมือที่ตรวจสอบพฤติกรรมของระบบสำหรับกิจกรรมที่ผิดปกติซึ่งบ่งชี้ถึงการติดเชื้อแบ็คดอร์ เช่น การเชื่อมต่อเครือข่ายที่ไม่คาดคิดหรือการแก้ไขไฟล์
• การตรวจสอบความปลอดภัยเป็นประจำ : ดำเนินการตรวจสอบความปลอดภัยและการทดสอบการเจาะระบบเป็นประจำเพื่อรับรู้และแก้ไขช่องโหว่ที่แบ็คดอร์อาจนำไปใช้ประโยชน์ได้
• การสำรองข้อมูลและการกู้คืน : ใช้การสำรองข้อมูลเป็นประจำที่จัดเก็บไว้ในสภาพแวดล้อมที่เป็นอิสระ เพื่อลดผลกระทบของการติดเชื้อทางลับ และอำนวยความสะดวกในการกู้คืนในกรณีที่ข้อมูลสูญหาย

ด้วยการใช้แนวทางเชิงรุกที่ผสมผสานมาตรการป้องกันเข้ากับความสามารถในการตรวจจับและตอบสนองที่แข็งแกร่ง องค์กรต่างๆ จึงสามารถเพิ่มความยืดหยุ่นต่อการติดเชื้อลับๆ และลดความเสี่ยงที่เกี่ยวข้องได้อย่างมีประสิทธิภาพ