Multi-License Discount Quote
Bedrohungsdatenbank Backdoors Gomir-Hintertür

Gomir-Hintertür

Von Mezo in Backdoors, Advanced Persistent Threat (APT)
Übersetzen Sie in:
Deutsch

Die Kimsuky-Gruppe, auch bekannt als Springtail, ist eine Advanced Persistent Threat (APT)-Gruppe, die mit dem nordkoreanischen Reconnaissance General Bureau (RGB) in Verbindung steht. Jüngste Beobachtungen zeigen, dass sie im Rahmen einer Kampagne, die sich gegen südkoreanische Unternehmen richtete, eine Linux-Adaption der GoBear-Hintertür eingesetzt haben.

Diese Backdoor mit dem Namen Gomir ähnelt stark der Struktur von GoBear und weist eine erhebliche Codeüberschneidung zwischen den beiden Malware-Versionen auf. Insbesondere fehlen Gomir alle Funktionen von GoBear, die von einem bestimmten Betriebssystem abhängig sind. Entweder fehlen sie vollständig oder sie sind für die Kompatibilität mit der Linux-Umgebung neu konfiguriert.

Der Vorgänger der Gomir-Hintertür wurde zur Verbreitung bedrohlicher Malware verwendet

Anfang Februar 2024 dokumentierten Forscher das Auftauchen von GoBear im Zusammenhang mit einer Kampagne, die Malware namens Troll Stealer , auch TrollAgent genannt, verbreitete. Eine weitere Untersuchung der Malware nach der Infektion ergab Ähnlichkeiten mit etablierten Kimsuky-Malware-Familien wie AppleSeed und AlphaSeed.

Eine anschließende Analyse ergab, dass die Malware über trojanisierte Sicherheitsprogramme verbreitet wird, die von einer Website bezogen wurden, die mit einem südkoreanischen Bauverband in Verbindung steht, wobei die konkrete Verbindung nicht bekannt gegeben wurde. Zu den kompromittierten Programmen gehören nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport und WIZVERA VeraPort. WIZVERA VeraPort war bereits zuvor Ziel eines Supply-Chain-Angriffs der Lazarus Group im Jahr 2020.

Darüber hinaus wurde festgestellt, dass die Troll Stealer-Malware über unrechtmäßige Installationsprogramme verbreitet wird, die für Wizvera VeraPort entwickelt wurden. Die genaue Methode zur Verbreitung dieser Installationspakete ist derzeit jedoch unbekannt.

Die Gomir-Hintertür wurde speziell für die Infektion von Linux-Systemen entwickelt

GoBear weist Ähnlichkeiten in den Funktionsnamen mit einer älteren Springtail-Backdoor namens BetaSeed auf, die in C++ geschrieben ist, was auf einen möglichen gemeinsamen Ursprung der beiden Bedrohungen hindeutet. Diese Malware ist mit der Fähigkeit ausgestattet, Befehle von einem Remote-Server auszuführen und wird über Dropper verbreitet, die als gefälschte Installationsprogramme für eine Anwendung getarnt sind, die mit einer koreanischen Transportorganisation in Verbindung steht.

Die Linux-Variante Gomir verfügt über einen Satz von 17 Befehlen, mit denen Angreifer Dateioperationen durchführen, einen Reverse-Proxy initiieren, die Command-and-Control-Kommunikation (C2) vorübergehend anhalten, Shell-Befehle ausführen und eigene Prozesse beenden können.

Diese jüngste Kimsuky-Kampagne unterstreicht den Trend zu Softwareinstallationspaketen und Updates als bevorzugte Infektionswege für nordkoreanische Spionageakteure. Die Auswahl der Zielsoftware scheint sorgfältig darauf zugeschnitten zu sein, die Wahrscheinlichkeit einer Infektion der beabsichtigten südkoreanischen Ziele zu erhöhen.

Implementieren Sie wirksame Maßnahmen gegen Malware-Angriffe

Effektive Gegenmaßnahmen gegen Backdoor-Infektionen erfordern einen mehrschichtigen Ansatz, der auf Prävention, Erkennung und Reaktion abzielt. Hier sind einige bewährte Vorgehensweisen:

  • Aktuelle Sicherheitssoftware : Stellen Sie sicher, dass die gesamte Sicherheitssoftware, einschließlich Anti-Malware-Programme, regelmäßig aktualisiert wird, um Hintertüren und andere Bedrohungen zu erkennen und zu entfernen.
  • Regelmäßige Software-Updates : Betriebssysteme, Anwendungen und Firmware sollten über die neuesten Sicherheitspatches verfügen, um bekannte Schwachstellen zu beheben, die häufig von Hintertüren ausgenutzt werden.
  • Netzwerksegmentierung : Richten Sie eine Netzwerksegmentierung ein, um kritische Systeme zu isolieren und die Ausbreitung von Infektionen einzuschränken, falls eine Hintertür vorhanden ist.
  • Starke Zugriffskontrollen und Authentifizierung : Erzwingen Sie sichere Passwörter, implementieren Sie eine Multi-Faktor-Authentifizierung (MFA) und schränken Sie Zugriffsrechte ein, um die Möglichkeiten eines unbefugten Zugriffs auf Systeme zu verringern.
  • Schulung der Mitarbeiter : Informieren Sie Ihre Mitarbeiter über Social-Engineering-Taktiken zum Einsatz von Hintertüren, wie z. B. Phishing-E-Mails, und ermutigen Sie sie, verdächtige Aktivitäten unverzüglich zu melden.
  • Anwendungs-Whitelists : Verwenden Sie Anwendungs-Whitelists nur, um die Ausführung genehmigter Programme zuzulassen und so die Ausführung nicht autorisierter oder schädlicher Software, einschließlich Hintertüren, zu verhindern.
  • Verhaltensanalyse : Setzen Sie Tools ein, die das Systemverhalten auf anomale Aktivitäten überwachen, die auf Backdoor-Infektionen hinweisen, wie z. B. unerwartete Netzwerkverbindungen oder Dateiänderungen.
  • Regelmäßige Sicherheitsüberprüfungen : Führen Sie routinemäßige Sicherheitsüberprüfungen und Penetrationstests durch, um Schwachstellen zu erkennen und zu beheben, die von Hintertüren ausgenutzt werden könnten.
  • Sicherung und Wiederherstellung : Führen Sie regelmäßige Datensicherungen in einer unabhängigen Umgebung durch, um die Auswirkungen einer Backdoor-Infektion zu mildern und die Wiederherstellung im Falle eines Datenverlusts zu erleichtern.

Durch die Einführung eines proaktiven Ansatzes, der vorbeugende Maßnahmen mit robusten Erkennungs- und Reaktionsfunktionen kombiniert, können Unternehmen ihre Widerstandsfähigkeit gegen Backdoor-Infektionen erhöhen und die damit verbundenen Risiken wirksam mindern.

Im Trend

Am häufigsten gesehen

Wird geladen...