Gomir Backdoor

Kimsuky 組織，也稱為 Springtail，是一個與北韓偵察總局 (RGB) 有關聯的高階持續威脅 (APT) 組織。最近的觀察顯示，他們在針對韓國實體的活動中部署了 GoBear 後門的 Linux 版本。

後門名為 Gomir，與 GoBear 的結構非常相似，兩個惡意軟體版本之間的程式碼有顯著重疊。值得注意的是，Gomir 缺乏 GoBear 中任何依賴特定作業系統的功能，要么完全不存在，要么重新配置以兼容 Linux 環境。

Gomir 後門的前身已被用來傳播威脅惡意軟體

2024 年 2 月初，研究人員記錄了 GoBear 的出現與分發名為Troll Stealer （也稱為 TrollAgent）的惡意軟體的活動有關。對感染後惡意軟體的進一步檢查發現，它與 AppleSeed 和 AlphaSeed 等已建立的 Kimsuky 惡意軟體家族有相似之處。

隨後的分析發現，該惡意軟體是透過從與韓國建築相關協會相關的網站獲得的木馬安全程序傳播的，但具體關聯尚未披露。受影響的程式包括 nProtect Online Security、NX_PRNMAN、TrustPKI、UbiReport 和 WIZVERA VeraPort。值得注意的是，WIZVERA VeraPort 先前曾成為 Lazarus Group 在 2020 年發動的供應鏈攻擊的目標。

此外，值得注意的是，Troll Stealer 惡意軟體正在透過為 Wizvera VeraPort 設計的非法安裝程式進行傳播。不過，目前尚不清楚這些安裝包的具體分發方式。

Gomir後門專為感染Linux系統而設計

GoBear 的函數名稱與名為 BetaSeed 的較舊 Springtail 後閘（以 C++ 編寫）相似，顯示這兩個威脅之間存在潛在的共同起源。該惡意軟體具有從遠端伺服器執行命令的功能，並透過偽裝成與韓國交通組織相關的應用程式的偽造安裝程式的植入程式進行傳播。

其 Linux 變體 Gomir 擁有一組 17 個命令，使攻擊者能夠執行檔案操作、啟動反向代理、暫時停止命令與控制 (C2) 通訊、執行 shell 命令以及終止自己的進程。

最近的 Kimsuky 活動凸顯了軟體安裝套件和更新作為北韓間諜活動者首選感染媒介的轉變。目標軟體的選擇似乎是經過精心設計的，以提高感染韓國目標的可能性。

實施有效措施以應對惡意軟體攻擊

針對後門感染的有效對策涉及旨在預防、檢測和回應的多層方法。以下是一些最佳實踐：

• 最新的安全軟體：確保定期更新所有安全軟體，包括反惡意軟體程序，以偵測和移除後門和其他威脅。
• 定期軟體更新：作業系統、應用程式和韌體應具有最新的安全補丁，以緩解後門經常利用的已知漏洞。
• 網路分段：設定網路分段以隔離關鍵系統並在存在後門時限制感染的傳播。
• 強大的存取控制和身份驗證：強制執行強密碼、實施多重身份驗證 (MFA) 並限制存取權限，以減少未經授權存取系統的機會。
• 員工培訓：對員工進行部署後門（例如網路釣魚電子郵件）的社會工程策略的教育，並鼓勵他們及時報告可疑活動。
• 應用程式白名單：僅使用應用程式白名單允許批准的程式運行，防止未經授權或惡意軟體（包括後門）執行。
• 行為分析：使用工具監視系統行為是否存在表示後門感染的異常活動，例如意外的網路連線或檔案修改。
• 定期安全審核：進行例行安全審核和滲透測試，以識別和解決可能被後門利用的漏洞。
• 備份與復原：定期將資料備份儲存在獨立的環境中，以減輕後門感染的影響並在資料遺失時便於復原。

透過採用將預防措施與強大的檢測和反應能力相結合的主動方法，組織可以增強抵禦後門感染的能力並有效降低相關風險。