Gomir Backdoor
Kimsuky グループは、別名 Springtail とも呼ばれ、北朝鮮の偵察総局 (RGB) と関係のある APT (高度持続的脅威) グループです。最近の観察では、同グループが韓国の組織を狙った攻撃キャンペーンで GoBear バックドアの Linux 版を展開していることが明らかになっています。
Gomir と名付けられたこのバックドアは、GoBear の構造を忠実に再現しており、2 つのマルウェア バージョン間でコードが大幅に重複しています。特に、Gomir には特定のオペレーティング システムに依存する GoBear の機能がまったくなく、完全に存在しないか、Linux 環境内での互換性のために再構成されています。
目次
Gomirバックドアの前身は脅威的なマルウェアを配信するために使用されてきた
2024 年 2 月初旬、研究者らは、 Troll Stealer (別名 TrollAgent) として知られるマルウェアを配布するキャンペーンに関連して GoBear の出現を記録しました。感染後のマルウェアをさらに調査したところ、AppleSeed や AlphaSeed などの既存の Kimsuky マルウェア ファミリーとの類似点が明らかになりました。
その後の分析で、マルウェアは韓国の建設関連団体に関連するウェブサイトから入手したトロイの木馬化されたセキュリティ プログラムを通じて拡散していることが判明しましたが、具体的な団体は明らかにされていません。侵害されたプログラムには、nProtect Online Security、NX_PRNMAN、TrustPKI、UbiReport、WIZVERA VeraPort などがあります。注目すべきことに、WIZVERA VeraPort は、2020 年に Lazarus Group が実行したサプライ チェーン攻撃の標的となっていました。
さらに、Troll Stealer マルウェアは、Wizvera VeraPort 用に設計された不正なインストーラーを通じて拡散されていることが指摘されています。ただし、これらのインストール パッケージを配布するために使用される具体的な方法は、現在のところ不明です。
Gomir バックドアは Linux システムに感染するように特別に設計されています
GoBear は、C++ で書かれた古い Springtail バックドアである BetaSeed と関数名が類似しており、2 つの脅威の起源が共通している可能性を示唆しています。このマルウェアは、リモート サーバーからコマンドを実行する機能を備えており、韓国の運輸組織に関連するアプリケーションの偽造インストーラーを装ったドロッパーを介して拡散します。
Linux 版の亜種である Gomir は、17 個のコマンド セットを備えており、攻撃者はこれを使用してファイル操作を実行したり、リバース プロキシを開始したり、コマンド アンド コントロール (C2) 通信を一時的に停止したり、シェル コマンドを実行したり、自身のプロセスを終了したりすることができます。
この最近の Kimsuky 攻撃は、北朝鮮のスパイ活動家が好む感染経路としてソフトウェアのインストール パッケージと更新への移行を強調しています。標的となるソフトウェアの選択は、意図した韓国の標的に感染する可能性を高めるために綿密に調整されているようです。
マルウェア攻撃に対する効果的な対策を実施する
バックドア感染に対する効果的な対策には、予防、検出、対応を目的とした多層的なアプローチが必要です。以下にベストプラクティスをいくつか示します。
- 最新のセキュリティ ソフトウェア: マルウェア対策プログラムを含むすべてのセキュリティ ソフトウェアが定期的に更新され、バックドアやその他の脅威を検出して削除されていることを確認します。
- 定期的なソフトウェア更新: バックドアで悪用されることが多い既知の脆弱性を軽減するために、オペレーティング システム、アプリケーション、ファームウェアには最新のセキュリティ パッチを適用する必要があります。
- ネットワーク セグメンテーション: ネットワーク セグメンテーションを設定して重要なシステムを分離し、バックドアが存在する場合に感染の拡大を制限します。
- 強力なアクセス制御と認証: 強力なパスワードを適用し、多要素認証 (MFA) を実装し、アクセス権限を制限して、システムへの不正アクセスの機会を減らします。
- 従業員トレーニング: フィッシング メールなどのバックドアを展開するために使用されるソーシャル エンジニアリング戦術について従業員を教育し、疑わしい活動を速やかに報告するよう奨励します。
- アプリケーション ホワイトリスト: アプリケーション ホワイトリストは、承認されたプログラムの実行のみを許可し、バックドアなどの不正なソフトウェアや悪意のあるソフトウェアの実行を防止するために使用します。
- 動作分析: 予期しないネットワーク接続やファイルの変更など、バックドア感染を示す異常なアクティビティがないかシステムの動作を監視するツールを使用します。
- 定期的なセキュリティ監査: バックドアによって悪用される可能性のある脆弱性を認識して対処するために、定期的なセキュリティ監査と侵入テストを実施します。
- バックアップとリカバリ: バックドア感染の影響を軽減し、データ損失が発生した場合のリカバリを容易にするために、独立した環境に保存された定期的なデータ バックアップを実装します。
予防策と強力な検出および対応機能を組み合わせたプロアクティブなアプローチを採用することで、組織はバックドア感染に対する回復力を強化し、関連するリスクを効果的に軽減できます。
