Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Backdoors Gomir Backdoor

Gomir Backdoor

Đến năm Mezo năm Backdoors, Advanced Persistent Threat (APT)
Dịch sang:
Tiếng Việt Nam

Nhóm Kimsuky, còn được gọi là Springtail, là một nhóm Đe dọa liên tục nâng cao (APT) liên kết với Tổng cục Trinh sát (RGB) của Triều Tiên. Những quan sát gần đây cho thấy việc họ triển khai bản chuyển thể Linux của cửa hậu GoBear trong một chiến dịch nhắm vào các thực thể Hàn Quốc.

Được đặt tên là Gomir, cửa hậu này phản ánh chặt chẽ cấu trúc của GoBear, có sự trùng lặp đáng kể về mã giữa hai phiên bản phần mềm độc hại. Đáng chú ý, Gomir thiếu bất kỳ chức năng nào của GoBear phụ thuộc vào một hệ điều hành cụ thể, hoàn toàn không có hoặc được cấu hình lại để tương thích trong môi trường Linux.

Tiền thân của Gomir Backdoor đã được sử dụng để phát tán phần mềm độc hại đe dọa

Vào đầu tháng 2 năm 2024, các nhà nghiên cứu đã ghi nhận sự xuất hiện của GoBear liên quan đến một chiến dịch phát tán phần mềm độc hại có tên Troll Stealer , còn được gọi là TrollAgent. Việc kiểm tra sâu hơn về phần mềm độc hại sau lây nhiễm cho thấy những điểm tương đồng với các họ phần mềm độc hại Kimsuky đã có từ lâu như AppleSeed và AlphaSeed.

Phân tích sau đó phát hiện ra rằng phần mềm độc hại được phát tán thông qua các chương trình bảo mật bị trojan hóa thu được từ một trang web liên kết với một hiệp hội liên quan đến xây dựng của Hàn Quốc, mặc dù hiệp hội cụ thể vẫn chưa được tiết lộ. Các chương trình bị xâm nhập bao gồm nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport và WIZVERA VeraPort. Đáng chú ý, WIZVERA VeraPort trước đó đã trở thành mục tiêu trong một cuộc tấn công chuỗi cung ứng do Tập đoàn Lazarus thực hiện vào năm 2020.

Ngoài ra, cần lưu ý rằng phần mềm độc hại Troll Stealer đang được phát tán thông qua các trình cài đặt bất hợp pháp được thiết kế cho Wizvera VeraPort. Tuy nhiên, phương pháp cụ thể được sử dụng để phân phối các gói cài đặt này hiện vẫn chưa được biết.

Backdoor Gomir được thiết kế đặc biệt để lây nhiễm các hệ thống Linux

GoBear có sự tương đồng về tên chức năng với backdoor Springtail cũ hơn có tên BetaSeed, được viết bằng C++, cho thấy nguồn gốc chung tiềm ẩn giữa hai mối đe dọa. Phần mềm độc hại này được trang bị khả năng thực thi lệnh từ máy chủ từ xa và lây lan thông qua các phần mềm nhỏ giọt được ngụy trang dưới dạng trình cài đặt giả mạo cho một ứng dụng liên kết với một tổ chức vận tải Hàn Quốc.

Biến thể Linux của nó, Gomir, tự hào có một bộ gồm 17 lệnh, trao quyền cho kẻ tấn công thực hiện các hoạt động tệp, khởi tạo proxy ngược, tạm thời dừng liên lạc Lệnh và Kiểm soát (C2), thực thi lệnh shell và chấm dứt quy trình của chính nó.

Chiến dịch Kimsuky gần đây này nhấn mạnh sự thay đổi hướng tới các gói cài đặt và cập nhật phần mềm như những phương tiện lây nhiễm ưa thích cho các hoạt động gián điệp của Triều Tiên. Việc lựa chọn phần mềm nhắm mục tiêu dường như được điều chỉnh tỉ mỉ để nâng cao khả năng lây nhiễm các mục tiêu dự định của Hàn Quốc.

Thực hiện các biện pháp hiệu quả chống lại các cuộc tấn công phần mềm độc hại

Các biện pháp đối phó hiệu quả chống lại lây nhiễm cửa sau bao gồm cách tiếp cận nhiều lớp nhằm ngăn ngừa, phát hiện và ứng phó. Dưới đây là một số phương pháp hay nhất:

  • Phần mềm bảo mật cập nhật : Đảm bảo tất cả phần mềm bảo mật, bao gồm các chương trình chống phần mềm độc hại, được cập nhật thường xuyên để phát hiện và loại bỏ các cửa sau cũng như các mối đe dọa khác.
  • Cập nhật phần mềm thường xuyên : Hệ điều hành, ứng dụng và chương trình cơ sở phải có các bản vá bảo mật mới nhất để giảm thiểu các lỗ hổng đã biết mà các cửa sau thường khai thác.
  • Phân đoạn mạng : Thiết lập phân đoạn mạng để cách ly các hệ thống quan trọng và hạn chế sự lây lan của lây nhiễm nếu có cửa sau.
  • Kiểm soát truy cập và xác thực mạnh mẽ : Thực thi mật khẩu mạnh, triển khai xác thực đa yếu tố (MFA) và hạn chế đặc quyền truy cập để giảm cơ hội truy cập trái phép vào hệ thống.
  • Đào tạo nhân viên : Giáo dục nhân viên về các chiến thuật lừa đảo xã hội được sử dụng để triển khai các cửa sau, chẳng hạn như email lừa đảo và khuyến khích họ báo cáo kịp thời các hoạt động đáng ngờ.
  • Danh sách trắng ứng dụng : Chỉ sử dụng danh sách trắng ứng dụng để cho phép các chương trình được phê duyệt chạy, ngăn chặn phần mềm trái phép hoặc độc hại, bao gồm cả cửa sau, thực thi.
  • Phân tích hành vi : Sử dụng các công cụ giám sát hành vi của hệ thống để phát hiện các hoạt động bất thường cho thấy sự lây nhiễm cửa sau, chẳng hạn như kết nối mạng không mong muốn hoặc sửa đổi tệp.
  • Kiểm tra bảo mật thường xuyên : Tiến hành kiểm tra bảo mật định kỳ và thử nghiệm thâm nhập để nhận biết và giải quyết các lỗ hổng có thể bị các cửa sau khai thác.
  • Sao lưu và phục hồi : Thực hiện sao lưu dữ liệu thường xuyên được lưu trữ trong môi trường độc lập để giảm thiểu tác động của lây nhiễm cửa sau và tạo điều kiện phục hồi trong trường hợp mất dữ liệu.

Bằng cách áp dụng cách tiếp cận chủ động kết hợp các biện pháp phòng ngừa với khả năng phát hiện và ứng phó mạnh mẽ, các tổ chức có thể nâng cao khả năng phục hồi trước sự lây nhiễm cửa sau và giảm thiểu rủi ro liên quan một cách hiệu quả.

xu hướng

Lừa đảo qua Email Bảo vệ Tài khoản

Phishing, Spam
Sau khi các nhà nghiên cứu bảo mật thông tin kiểm tra, người ta đã nhanh chóng xác định rằng các email 'Bảo vệ tài khoản' là lừa đảo và là một phần của kế hoạch lừa đảo. Mục đích chính của những email lừa đảo này là lôi kéo người nhận truy cập trang web lừa đảo được thiết kế để thu thập thông tin đăng nhập của người dùng vào tài khoản email của họ. Lừa đảo qua email bảo vệ tài khoản có...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
40,817
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...