Η βορειοκορεατική ομάδα hacker Kimsuky, χρησιμοποιεί ένα νέο backdoor για συστήματα Linux που ονομάζεται Gomir και είναι μια έκδοση του backdoor GoBear που παρέχεται μέσω trojanized λογισμικού εγκατάστασης.
Δείτε επίσης: Turla Group: Ανέπτυξε δύο backdoors – το LunarWeb και το LunarMail
Η ομάδα Kimsuky, είναι ένας παράγοντας απειλών που υποστηρίζεται από το κράτος και συνδέεται με τη στρατιωτική υπηρεσία πληροφοριών της Βόρειας Κορέας, το Γενικό Γραφείο Αναγνώρισης (RGB).
Στις αρχές Φεβρουαρίου 2024, ερευνητές στην εταιρεία πληροφοριών απειλών SW2 ανέφεραν μια εκστρατεία όπου η Kimsuky χρησιμοποίησε trojanized εκδόσεις διαφόρων λύσεων λογισμικού, όπως TrustPKI και NX_PRNMAN από την SGA Solutions, Wizvera VeraPort, για να μολύνουν στόχους της Νότιας Κορέας με το Troll Stealer και το κακόβουλο λογισμικό των Windows GoBear που βασίζεται σε Go.
Αναλυτές της Symantec, μιας εταιρείας Broadcom, που εξετάζουν την ίδια καμπάνια που στόχευε κυβερνητικούς οργανισμούς της Νότιας Κορέας, ανακάλυψαν ένα νέο κακόβουλο εργαλείο που φαίνεται να είναι μια παραλλαγή Linux του GoBear backdoor.
Το Gomir της Kimsuky, έχει πολλές ομοιότητες με το GoBear και διαθέτει επικοινωνία άμεσης εντολής και ελέγχου (C2), μηχανισμούς επιμονής και υποστήριξη για την εκτέλεση ενός ευρέος φάσματος εντολών.
Δείτε ακόμα: Πακέτο PyPi χρησιμοποιείται ως backdoor σε συκευές macOS
Κατά την εγκατάσταση, το κακόβουλο λογισμικό ελέγχει την τιμή του αναγνωριστικού ομάδας για να προσδιορίσει εάν εκτελείται με δικαιώματα root στον υπολογιστή Linux και στη συνέχεια, αντιγράφεται στο /var/log/syslogd για επιμονή.
Στη συνέχεια, δημιουργεί μια υπηρεσία systemd με το όνομα «syslogd» και εκδίδει εντολές που ξεκινούν την υπηρεσία πριν διαγράψει το αρχικό εκτελέσιμο αρχείο και τερματίσει την αρχική διαδικασία.
Το Gomir backdoor της Kimsuky, προσπαθεί επίσης να διαμορφώσει μια εντολή crontab ώστε να εκτελείται κατά την επανεκκίνηση του συστήματος, δημιουργώντας ένα βοηθητικό αρχείο («cron.txt») στον τρέχοντα κατάλογο εργασίας. Εάν η λίστα crontab ενημερωθεί με επιτυχία, το βοηθητικό αρχείο καταργείται επίσης.
Το Gomir υποστηρίζει 17 λειτουργίες, οι οποίες ενεργοποιούνται όταν λαμβάνεται η αντίστοιχη εντολή από το C2 μέσω αιτημάτων HTTP POST. Σύμφωνα με ερευνητές της Symantec, οι εντολές αυτές “είναι σχεδόν πανομοιότυπες με αυτές που υποστηρίζονται από την κερκόπορτα των Windows GoBear“.
Δείτε επίσης: Οι Kimsuky hackers στοχεύουν crypto εταιρείες με το Durian malware
Ποια είναι τα καλύτερα μέτρα προστασίας από backdoors;
Ένα από τα πιο σημαντικά μέτρα προστασίας από backdoors, όπως το νέο Gomir της Kimsuky είναι η τακτική ενημέρωση και αναβάθμιση του λογισμικού και των λειτουργικών συστημάτων. Οι κατασκευαστές συχνά εκδίδουν ενημερώσεις ασφαλείας που διορθώνουν ευπάθειες, συμπεριλαμβανομένων των backdoors. Η χρήση ισχυρών και μοναδικών κωδικών πρόσβασης για κάθε λογαριασμό και σύστημα είναι επίσης κρίσιμη. Η εφαρμογή πολυπαραγοντικής αυθεντικοποίησης (MFA) προσθέτει ένα επιπλέον επίπεδο ασφάλειας. Η τακτική παρακολούθηση και ανάλυση των αρχείων καταγραφής (logs) μπορεί να βοηθήσει στον εντοπισμό ύποπτης δραστηριότητας που μπορεί να υποδεικνύει την ύπαρξη backdoor. Η χρήση λογισμικού ανίχνευσης και απομάκρυνσης κακόβουλου λογισμικού είναι επίσης απαραίτητη, αφού αυτά τα εργαλεία μπορούν να εντοπίσουν και να αφαιρέσουν γνωστά backdoors, προστατεύοντας το σύστημα από επιθέσεις.
Πηγή: bleepingcomputer
