Gomir Backdoor

Mezo'de Backdoors, Advanced Persistent Threat (APT)'de

Çevir:

Springtail olarak da bilinen Kimsuky grubu, Kuzey Kore'nin Genel Keşif Bürosu (RGB) ile ilişkili bir Gelişmiş Kalıcı Tehdit (APT) grubudur. Son gözlemler, Güney Koreli kuruluşlara yönelik bir kampanya kapsamında GoBear arka kapısının Linux uyarlamasını kullandıklarını ortaya koyuyor.

Gomir adı verilen bu arka kapı, GoBear'ın yapısını yakından yansıtıyor ve iki kötü amaçlı yazılım sürümü arasında önemli miktarda kod örtüşmesi içeriyor. Gomir'in GoBear'da belirli bir işletim sistemine bağımlı olan herhangi bir işlevsellikten yoksun olması dikkat çekicidir; ya tamamen yoktur ya da Linux ortamıyla uyumluluk için yeniden yapılandırılmıştır.

İçindekiler

Gomir Arka Kapısının Selefi, Tehdit Edici Kötü Amaçlı Yazılım Sunmak İçin Kullanıldı

Şubat 2024'ün başlarında araştırmacılar, GoBear'ın, TrollAgent olarak da adlandırılan, Troll Stealer olarak bilinen kötü amaçlı yazılımları dağıtan bir kampanyayla bağlantılı olarak ortaya çıktığını belgelediler. Bulaşma sonrası kötü amaçlı yazılımların daha ayrıntılı incelenmesi, AppleSeed ve AlphaSeed gibi yerleşik Kimsuky kötü amaçlı yazılım aileleriyle benzerlikler ortaya çıkardı.

Daha sonraki analizler, kötü amaçlı yazılımın, Güney Kore inşaatla ilgili bir dernekle ilişkili bir web sitesinden elde edilen truva atı haline getirilmiş güvenlik programları aracılığıyla yayıldığını ortaya çıkardı, ancak spesifik ilişki açıklanmadı. Güvenliği ihlal edilen programlar arasında nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport ve WIZVERA VeraPort yer alıyor. Özellikle WIZVERA VeraPort, daha önce Lazarus Group tarafından 2020'de gerçekleştirilen bir tedarik zinciri saldırısında hedef alınmıştı.

Ayrıca Troll Stealer kötü amaçlı yazılımının Wizvera VeraPort için tasarlanmış yasal olmayan yükleyiciler aracılığıyla yayıldığı da kaydedildi. Ancak bu kurulum paketlerini dağıtmak için kullanılan özel yöntem şu anda bilinmiyor.

Gomir Arka Kapısı Özellikle Linux Sistemlerine Bulaşmak İçin Tasarlandı

GoBear, işlev adlarında BetaSeed adı verilen ve C++ ile yazılmış eski bir Springtail arka kapısıyla benzerlikler gösteriyor ve bu da iki tehdit arasında potansiyel bir ortak kökene işaret ediyor. Bu kötü amaçlı yazılım, uzak bir sunucudan komutları yürütme yetenekleriyle donatılmıştır ve Koreli bir ulaşım organizasyonuyla ilişkili bir uygulama için sahte yükleyiciler olarak gizlenen damlalıklar aracılığıyla yayılmaktadır.

Linux versiyonu Gomir, saldırganlara dosya işlemlerini yürütme, ters proxy başlatma, Komuta ve Kontrol (C2) iletişimlerini geçici olarak durdurma, kabuk komutlarını yürütme ve kendi sürecini sonlandırma yetkisi veren 17 komuttan oluşan bir diziye sahiptir.

Bu son Kimsuky kampanyası, Kuzey Koreli casusluk aktörleri için tercih edilen enfeksiyon vektörleri olarak yazılım yükleme paketlerine ve güncellemelere doğru kaymanın altını çiziyor. Hedeflenen yazılımın seçimi, amaçlanan Güney Koreli hedeflere bulaşma olasılığını artırmak için titizlikle tasarlanmış gibi görünüyor.

Kötü Amaçlı Yazılım Saldırılarına Karşı Etkili Önlemler Uygulayın

Arka kapı enfeksiyonlarına karşı etkili karşı önlemler, önleme, tespit ve müdahaleyi amaçlayan çok katmanlı bir yaklaşımı içerir. İşte bazı en iyi uygulamalar:

Güncel Güvenlik Yazılımı : Kötü amaçlı yazılımdan koruma programları da dahil olmak üzere tüm güvenlik yazılımlarının, arka kapıları ve diğer tehditleri tespit etmek ve kaldırmak için düzenli olarak güncellendiğinden emin olun.
Düzenli Yazılım Güncellemeleri : İşletim sistemleri, uygulamalar ve donanım yazılımı, arka kapıların sıklıkla yararlandığı bilinen güvenlik açıklarını azaltmak için en son güvenlik yamalarına sahip olmalıdır.
Ağ Segmentasyonu : Kritik sistemleri izole etmek ve bir arka kapı mevcutsa enfeksiyonların yayılmasını sınırlamak için ağ segmentasyonunu ayarlayın.
Güçlü Erişim Kontrolleri ve Kimlik Doğrulama : Sistemlere yetkisiz erişim fırsatlarını azaltmak için güçlü parolalar uygulayın, çok faktörlü kimlik doğrulama (MFA) uygulayın ve erişim ayrıcalıklarını kısıtlayın.
Çalışan Eğitimi : Çalışanları, kimlik avı e-postaları gibi arka kapıları dağıtmak için kullanılan sosyal mühendislik taktikleri konusunda eğitin ve onları şüpheli etkinlikleri derhal bildirmeye teşvik edin.
Uygulama Beyaz Listesine Alma : Uygulama beyaz listesini yalnızca onaylı programların çalışmasına izin vermek ve arka kapılar da dahil olmak üzere yetkisiz veya kötü amaçlı yazılımların yürütülmesini önlemek için kullanın.
Davranış Analizi : Beklenmedik ağ bağlantıları veya dosya değişiklikleri gibi arka kapı bulaşmalarının göstergesi olan anormal faaliyetler için sistem davranışını izleyen araçlar kullanın.
Düzenli Güvenlik Denetimleri : Arka kapılar tarafından kullanılabilecek güvenlik açıklarını tespit etmek ve gidermek için rutin güvenlik denetimleri ve sızma testleri gerçekleştirin.
Yedekleme ve Kurtarma : Arka kapı enfeksiyonunun etkisini azaltmak ve veri kaybı durumunda kurtarmayı kolaylaştırmak için bağımsız bir ortamda depolanan düzenli veri yedeklemeleri uygulayın.

Kuruluşlar, önleyici tedbirleri güçlü tespit ve müdahale yetenekleriyle birleştiren proaktif bir yaklaşım benimseyerek, arka kapı enfeksiyonlarına karşı dayanıklılıklarını artırabilir ve ilgili riskleri etkili bir şekilde azaltabilir.

ShareASale aracılığıyla SpyHunter'ı Tanıtın ve %55 Ödeme Alın

Ara

Bölge değiştir

Gomir Backdoor

Gomir Arka Kapısının Selefi, Tehdit Edici Kötü Amaçlı Yazılım Sunmak İçin Kullanıldı

Gomir Arka Kapısı Özellikle Linux Sistemlerine Bulaşmak İçin Tasarlandı

Kötü Amaçlı Yazılım Saldırılarına Karşı Etkili Önlemler Uygulayın

Yorum Gönder

trend

Onlinenothome.com

BlackSkull Fidye Yazılımı

Hesap Koruma E-posta Dolandırıcılığı

En çok görüntülenen

Discord Ekranı Paylaşırken Siyah Ekran Görüyor

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Msedge.exe nedir?