Gomir Backdoor

El grupo Kimsuky, también conocido como Springtail, es un grupo de Amenaza Persistente Avanzada (APT) asociado con la Oficina General de Reconocimiento (RGB) de Corea del Norte. Observaciones recientes revelan el despliegue de una adaptación de Linux de la puerta trasera GoBear dentro de una campaña dirigida a entidades de Corea del Sur.

Esta puerta trasera, denominada Gomir, refleja fielmente la estructura de GoBear y presenta una importante superposición de código entre las dos versiones de malware. En particular, Gomir carece de funcionalidades de GoBear que dependan de un sistema operativo específico, ya sea que estén ausentes por completo o que estén reconfiguradas para ser compatibles con el entorno Linux.

El predecesor de la puerta trasera Gomir se ha utilizado para distribuir malware amenazante

A principios de febrero de 2024, los investigadores documentaron la aparición de GoBear en relación con una campaña que distribuía malware conocido como Troll Stealer , también llamado TrollAgent. Un examen más detenido del malware posterior a la infección reveló similitudes con familias de malware Kimsuky establecidas, como AppleSeed y AlphaSeed.

Un análisis posterior descubrió que el malware se propaga a través de programas de seguridad troyanizados obtenidos de un sitio web asociado con una asociación surcoreana relacionada con la construcción, aunque la asociación específica sigue sin revelarse. Los programas comprometidos incluyen nProtect Online Security, NX_PRNMAN, TrustPKI, UbiReport y WIZVERA VeraPort. En particular, WIZVERA VeraPort había sido previamente objetivo de un ataque a la cadena de suministro llevado a cabo por Lazarus Group en 2020.

Además, se ha observado que el malware Troll Stealer se está difundiendo a través de instaladores ilegítimos diseñados para Wizvera VeraPort. Sin embargo, actualmente se desconoce el método específico utilizado para distribuir estos paquetes de instalación.

La puerta trasera Gomir está diseñada específicamente para infectar sistemas Linux

GoBear muestra semejanzas en los nombres de las funciones con una puerta trasera Springtail más antigua llamada BetaSeed, escrita en C++, lo que indica un posible origen común entre las dos amenazas. Este malware está equipado con capacidades para ejecutar comandos desde un servidor remoto y se propaga a través de goteros disfrazados de instaladores falsos para una aplicación asociada con una organización de transporte coreana.

Su variante de Linux, Gomir, cuenta con un conjunto de 17 comandos, lo que permite a los atacantes realizar operaciones de archivos, iniciar un proxy inverso, detener temporalmente las comunicaciones de comando y control (C2), ejecutar comandos de shell y finalizar su propio proceso.

Esta reciente campaña de Kimsuky subraya el cambio hacia paquetes de instalación de software y actualizaciones como vectores de infección preferidos por los actores de espionaje norcoreanos. La selección del software objetivo parece estar meticulosamente adaptada para mejorar la probabilidad de infectar los objetivos surcoreanos previstos.

Implementar medidas efectivas contra los ataques de malware

Las contramedidas eficaces contra las infecciones de puerta trasera implican un enfoque de varios niveles destinado a la prevención, la detección y la respuesta. Estas son algunas de las mejores prácticas:

• Software de seguridad actualizado : asegúrese de que todo el software de seguridad, incluidos los programas antimalware, se actualice periódicamente para detectar y eliminar puertas traseras y otras amenazas.
• Actualizaciones periódicas de software : los sistemas operativos, las aplicaciones y el firmware deben tener los últimos parches de seguridad para mitigar las vulnerabilidades conocidas que las puertas traseras suelen explotar.
• Segmentación de red : configure la segmentación de red para aislar sistemas críticos y limitar la propagación de infecciones si hay una puerta trasera presente.
• Autenticación y controles de acceso sólidos : aplique contraseñas seguras, implemente autenticación multifactor (MFA) y restrinja los privilegios de acceso para reducir las oportunidades de acceso no autorizado a los sistemas.
• Capacitación de empleados : eduque a los empleados sobre las tácticas de ingeniería social utilizadas para implementar puertas traseras, como correos electrónicos de phishing, y anímelos a informar actividades sospechosas con prontitud.
• Lista blanca de aplicaciones : use la lista blanca de aplicaciones solo para permitir que se ejecuten programas aprobados, evitando que se ejecute software malicioso o no autorizado, incluidas puertas traseras.
• Análisis de comportamiento : emplee herramientas que monitoreen el comportamiento del sistema en busca de actividades anómalas indicativas de infecciones de puerta trasera, como conexiones de red inesperadas o modificaciones de archivos.
• Auditorías de seguridad periódicas : realice auditorías de seguridad de rutina y pruebas de penetración para reconocer y abordar vulnerabilidades que podrían ser explotadas por puertas traseras.
• Copia de seguridad y recuperación : implemente copias de seguridad periódicas de los datos almacenados en un entorno independiente para mitigar el impacto de una infección de puerta trasera y facilitar la recuperación en caso de pérdida de datos.

Al adoptar un enfoque proactivo que combina medidas preventivas con sólidas capacidades de detección y respuesta, las organizaciones pueden mejorar su resiliencia contra las infecciones de puerta trasera y mitigar los riesgos asociados de manera efectiva.