Gomir Backdoor

Ang grupong Kimsuky, na kilala rin bilang Springtail, ay isang Advanced Persistent Threat (APT) na pangkat na nauugnay sa Reconnaissance General Bureau (RGB) ng Hilagang Korea. Ang mga kamakailang obserbasyon ay nagpapakita ng kanilang deployment ng Linux adaptation ng GoBear backdoor sa loob ng isang campaign na naglalayong sa mga entity ng South Korea.

Pinangalanan na Gomir, ang backdoor na ito ay malapit na sumasalamin sa istraktura ng GoBear, na nagtatampok ng makabuluhang overlap ng code sa pagitan ng dalawang bersyon ng malware. Kapansin-pansin, ang Gomir ay walang anumang mga pag-andar mula sa GoBear na umaasa sa isang partikular na operating system, alinman sa pagiging ganap na wala o muling na-configure para sa pagiging tugma sa loob ng kapaligiran ng Linux.

Ang Gomir Backdoor's Predecessor ay Ginamit upang Maghatid ng Mapanganib na Malware

Noong unang bahagi ng Pebrero 2024, naidokumento ng mga mananaliksik ang paglitaw ng GoBear kaugnay ng isang campaign na namamahagi ng malware na kilala bilang Troll Stealer , tinatawag ding TrollAgent. Ang karagdagang pagsusuri sa post-infection malware ay nagsiwalat ng mga pagkakatulad sa mga naitatag na pamilya ng malware ng Kimsuky gaya ng AppleSeed at AlphaSeed.

Natuklasan ng kasunod na pagsusuri na ang malware ay pinalaganap sa pamamagitan ng mga trojanized na programa sa seguridad na nakuha mula sa isang website na nauugnay sa isang asosasyong nauugnay sa konstruksiyon sa South Korea, bagama't ang partikular na asosasyon ay nananatiling hindi isiniwalat. Kasama sa mga nakompromisong programa ang nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport, at WIZVERA VeraPort. Kapansin-pansin, ang WIZVERA VeraPort ay dati nang na-target sa isang supply chain attack na isinagawa ng Lazarus Group noong 2020.

Bukod pa rito, nabanggit na ang Troll Stealer malware ay ipinakalat sa pamamagitan ng mga hindi lehitimong installer na idinisenyo para sa Wizvera VeraPort. Gayunpaman, ang partikular na paraan na ginamit upang ipamahagi ang mga pakete ng pag-install na ito ay nananatiling hindi alam sa kasalukuyan.

Ang Gomir Backdoor ay Partikular na Dinisenyo para Makahawa sa Linux Systems

Ang GoBear ay nagpapakita ng mga pagkakahawig sa mga pangalan ng function sa isang mas lumang Springtail backdoor na tinatawag na BetaSeed, na nakasulat sa C++, na nagpapahiwatig ng potensyal na karaniwang pinagmulan sa pagitan ng dalawang banta. Ang malware na ito ay nilagyan ng mga kakayahan upang magsagawa ng mga utos mula sa isang malayuang server at kumakalat sa pamamagitan ng mga dropper na itinago bilang mga pekeng installer para sa isang application na nauugnay sa isang Koreanong organisasyon sa transportasyon.

Ipinagmamalaki ng variant ng Linux nito, ang Gomir, ang isang set ng 17 command, na nagbibigay ng kapangyarihan sa mga attacker na magsagawa ng mga file operations, magsimula ng reverse proxy, pansamantalang ihinto ang Command-and-Control (C2) na komunikasyon, magsagawa ng mga shell command, at wakasan ang sarili nitong proseso.

Binibigyang-diin ng kamakailang kampanyang Kimsuky na ito ang paglipat patungo sa mga pakete ng pag-install ng software at mga update bilang mas gustong mga vector ng impeksyon para sa mga aktor ng espiya sa North Korea. Ang pagpili ng naka-target na software ay lumilitaw na masusing iniakma upang mapahusay ang posibilidad na mahawahan ang mga nilalayong target sa South Korea.

Magpatupad ng Mga Mabisang Panukala Laban sa Mga Pag-atake ng Malware

Ang mabisang mga hakbang laban sa mga impeksyon sa backdoor ay nagsasangkot ng isang multi-layered na diskarte na naglalayong pag-iwas, pagtuklas, at pagtugon. Narito ang ilang pinakamahuhusay na kagawian:

• Up-to-date na Security Software : Tiyaking ang lahat ng software ng seguridad, kabilang ang mga anti-malware program, ay regular na ina-update upang makita at alisin ang mga backdoor at iba pang mga banta.
• Regular na Mga Update sa Software : Ang mga operating system, application, at firmware ay dapat magkaroon ng pinakabagong mga patch ng seguridad upang mabawasan ang mga kilalang kahinaan na madalas na pinagsasamantalahan ng mga backdoor.
• Network Segmentation : I-set up ang network segmentation para ihiwalay ang mga kritikal na system at limitahan ang pagkalat ng mga impeksyon kung mayroong backdoor.
• Malakas na Mga Kontrol sa Pag-access at Pagpapatotoo : Magpatupad ng mga malalakas na password, magpatupad ng multi-factor authentication (MFA), at paghigpitan ang mga pribilehiyo sa pag-access upang bawasan ang mga pagkakataon ng hindi awtorisadong pag-access sa mga system.
• Pagsasanay sa Empleyado : Turuan ang mga empleyado tungkol sa mga taktika ng social engineering na ginagamit sa pag-deploy ng mga backdoor, gaya ng mga email sa phishing, at hikayatin silang mag-ulat kaagad ng mga kahina-hinalang aktibidad.
• Pag-whitelist ng Application : Gamitin lang ang pag-whitelist ng application upang payagan ang mga naaprubahang program na tumakbo, na pumipigil sa hindi awtorisado o nakakahamak na software, kabilang ang mga backdoor, mula sa pagpapatupad.
• Pagsusuri sa Pag-uugali : Gumamit ng mga tool na sumusubaybay sa gawi ng system para sa mga maanomalyang aktibidad na nagpapahiwatig ng mga impeksyon sa backdoor, gaya ng mga hindi inaasahang koneksyon sa network o mga pagbabago sa file.
• Mga Regular na Pag-audit sa Seguridad : Magsagawa ng mga regular na pag-audit sa seguridad at pagsubok sa pagtagos upang makilala at matugunan ang mga kahinaan na maaaring pagsamantalahan ng mga backdoor.
• Pag-backup at Pagbawi : Magpatupad ng mga regular na pag-backup ng data na nakaimbak sa isang independiyenteng kapaligiran upang mabawasan ang epekto ng impeksyon sa backdoor at mapadali ang pagbawi sa kaso ng pagkawala ng data.

Sa pamamagitan ng pagpapatibay ng isang maagap na diskarte na pinagsasama ang mga hakbang sa pag-iwas na may matatag na kakayahan sa pagtuklas at pagtugon, mapapahusay ng mga organisasyon ang kanilang katatagan laban sa mga impeksyon sa backdoor at epektibong mabawasan ang mga nauugnay na panganib.