Gomir Backdoor

Le groupe Kimsuky, également connu sous le nom de Springtail, est un groupe de menaces persistantes avancées (APT) associé au Bureau général de reconnaissance (RGB) de Corée du Nord. Des observations récentes révèlent le déploiement d'une adaptation Linux de la porte dérobée GoBear au sein d'une campagne destinée aux entités sud-coréennes.

Nommée Gomir, cette porte dérobée reflète fidèlement la structure de GoBear, avec un chevauchement important de code entre les deux versions de malware. Notamment, Gomir ne dispose pas de fonctionnalités de GoBear qui dépendent d'un système d'exploitation spécifique, soit étant totalement absentes, soit reconfigurées pour être compatibles avec l'environnement Linux.

Le prédécesseur de Gomir Backdoor a été utilisé pour diffuser des logiciels malveillants menaçants

Début février 2024, des chercheurs ont documenté l'émergence de GoBear en lien avec une campagne de diffusion d'un malware connu sous le nom de Troll Stealer , également appelé TrollAgent. Un examen plus approfondi des logiciels malveillants post-infection a révélé des similitudes avec les familles de logiciels malveillants Kimsuky établies telles que AppleSeed et AlphaSeed.

Une analyse ultérieure a révélé que le malware se propage via des programmes de sécurité trojanisés obtenus à partir d'un site Web associé à une association sud-coréenne liée à la construction, bien que l'association spécifique reste confidentielle. Les programmes compromis incluent nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport et WIZVERA VeraPort. Notamment, WIZVERA VeraPort avait déjà été la cible d’une attaque contre la chaîne d’approvisionnement menée par le groupe Lazarus en 2020.

De plus, il a été noté que le malware Troll Stealer est diffusé via des installateurs illégitimes conçus pour Wizvera VeraPort. Cependant, la méthode spécifique utilisée pour distribuer ces packages d'installation reste actuellement inconnue.

La porte dérobée Gomir est conçue spécifiquement pour infecter les systèmes Linux

GoBear présente des ressemblances dans les noms de fonctions avec une ancienne porte dérobée Springtail appelée BetaSeed, écrite en C++, indiquant une origine commune potentielle entre les deux menaces. Ce malware est doté de capacités lui permettant d'exécuter des commandes à partir d'un serveur distant et se propage via des compte-gouttes déguisés en installateurs contrefaits pour une application associée à une organisation de transport coréenne.

Sa variante Linux, Gomir, dispose d'un ensemble de 17 commandes, permettant aux attaquants d'effectuer des opérations sur les fichiers, de lancer un proxy inverse, d'arrêter temporairement les communications de commande et de contrôle (C2), d'exécuter des commandes shell et de mettre fin à son propre processus.

Cette récente campagne Kimsuky souligne l’évolution vers les packages d’installation de logiciels et les mises à jour comme vecteurs d’infection privilégiés par les acteurs de l’espionnage nord-coréens. La sélection des logiciels ciblés semble méticuleusement adaptée pour augmenter la probabilité d’infecter les cibles sud-coréennes visées.

Mettre en œuvre des mesures efficaces contre les attaques de logiciels malveillants

Les contre-mesures efficaces contre les infections par porte dérobée impliquent une approche à plusieurs niveaux visant la prévention, la détection et la réponse. Voici quelques bonnes pratiques :

• Logiciel de sécurité à jour : assurez-vous que tous les logiciels de sécurité, y compris les programmes anti-malware, sont régulièrement mis à jour pour détecter et supprimer les portes dérobées et autres menaces.
• Mises à jour logicielles régulières : les systèmes d'exploitation, les applications et les micrologiciels doivent disposer des derniers correctifs de sécurité pour atténuer les vulnérabilités connues que les portes dérobées exploitent souvent.
• Segmentation du réseau : configurez la segmentation du réseau pour isoler les systèmes critiques et limiter la propagation des infections en cas de présence d'une porte dérobée.
• Contrôles d'accès et authentification forts : appliquez des mots de passe forts, mettez en œuvre l'authentification multifacteur (MFA) et restreignez les privilèges d'accès pour réduire les possibilités d'accès non autorisé aux systèmes.
• Formation des employés : informez les employés sur les tactiques d'ingénierie sociale utilisées pour déployer des portes dérobées, telles que les e-mails de phishing, et encouragez-les à signaler rapidement les activités suspectes.
• Liste blanche des applications : utilisez la liste blanche des applications uniquement pour permettre aux programmes approuvés de s'exécuter, empêchant ainsi l'exécution de logiciels non autorisés ou malveillants, y compris les portes dérobées.
• Analyse comportementale : utilisez des outils qui surveillent le comportement du système à la recherche d'activités anormales indiquant des infections par porte dérobée, telles que des connexions réseau inattendues ou des modifications de fichiers.
• Audits de sécurité réguliers : effectuez des audits de sécurité et des tests d'intrusion de routine pour reconnaître et corriger les vulnérabilités qui pourraient être exploitées par des portes dérobées.
• Sauvegarde et récupération : mettez en œuvre des sauvegardes régulières des données stockées dans un environnement indépendant pour atténuer l'impact d'une infection par porte dérobée et faciliter la récupération en cas de perte de données.

En adoptant une approche proactive combinant des mesures préventives avec de solides capacités de détection et de réponse, les organisations peuvent améliorer leur résilience contre les infections par portes dérobées et atténuer efficacement les risques associés.