Multi-License Discount Quote
База данни за заплахи Backdoors GoRed Backdoor

GoRed Backdoor

До Mezo през Backdoors, Advanced Persistent Threat (APT), Malwareг
Превод на:
български език

Руски организации са били атакувани от група за киберпрестъпления, известна като ExCobalt, която използва новооткрита задна врата, базирана на Golang, наречена GoRed.

ExCobalt е специализирана в кибер шпионаж и се състои от няколко членове, които са активни поне от 2016 г., вероятно произхождащи от скандалната Cobalt Gang. Кобалтовата банда беше известна с това, че се насочваше към финансови институции, за да вземе пари, и един от техните инструменти за подпис беше CobInt. ExCobalt прие използването на CobInt през 2022 г.

Множество увреждащи инструменти, използвани при атаки срещу цели

През последната година заплахата се е насочила към различни сектори в Русия, включително правителство, информационни технологии, металургия, минно дело, разработка на софтуер и телекомуникации.

Нападателите получават първоначален достъп до среди, като експлоатират компрометиран преди това изпълнител и извършват атака по веригата на доставки, където заразяват компонент, използван за изграждане на законния софтуер на целевата компания, което показва високо ниво на сложност.

Техният начин на действие включва използването на няколко инструмента, като Metasploit, Mimikatz , ProcDump, SMBExec и Spark RAT за изпълнение на команди на заразени хостове, както и експлойти за ескалиране на привилегии на Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 и CVE-2022-2586).

Задната вратичка GoRed предоставя многобройни натрапчиви действия на заплахите

GoRed, който еволюира чрез многобройни итерации от създаването си, е многофункционална задна врата, която позволява на операторите да изпълняват команди, да получават идентификационни данни и да събират подробности за активни процеси, мрежови интерфейси и файлови системи. Той използва протокола Remote Procedure Call (RPC), за да комуникира със своя сървър за командване и управление (C2).

Освен това GoRed поддържа различни команди във фонов режим за наблюдение на интересни файлове и пароли, както и активиране на обратна обвивка. След това събраните данни се експортират в инфраструктура, контролирана от нападателя.

ExCobalt продължава да показва високо ниво на активност и решителност в насочването към руските компании, като непрекъснато добавя нови инструменти към своя арсенал и усъвършенства своите техники. Освен това ExCobalt демонстрира гъвкавост и адаптивност, като включва модифицирани стандартни помощни програми в своя набор от инструменти, което позволява на групата лесно да заобикаля контролите за сигурност и да се адаптира към промените в методите за защита.

Инфекциите със зловреден софтуер чрез задната вратичка могат да доведат до тежки последици

Инфекцията със заден злонамерен софтуер може да има тежки последици за жертвите, водещи до:

  • Неоторизиран достъп : Задните врати позволяват на нападателите да получат неоторизиран достъп до заразената система или мрежа. Това може да доведе до кражба на лична информация, която може да включва лични данни, финансови записи, интелектуална собственост или класифицирана държавна информация.
  • Кражба на данни и шпионаж : Нападателите могат да ексфилтрират данни от компрометираната система, което води до потенциални пробиви на данни. Тази събрана информация може да се продава в Тъмната мрежа, да се използва за кражба на самоличност или да се използва за конкурентно предимство от конкурентни организации.
  • Постоянно наблюдение : Задните врати често позволяват постоянно наблюдение, като позволяват на нападателите да наблюдават активността на потребителите, да улавят натискания на клавиши, да регистрират пароли и да наблюдават мрежовия трафик. Това наблюдение може да компрометира поверителността и поверителността на лица и организации.
  • Манипулиране на системата : Нападателите могат да манипулират компрометираната система за вредни цели, като стартиране на допълнителни атаки (напр. разпространение на спам или стартиране на DDoS атаки), промяна или изтриване на данни или нарушаване на критични услуги.
  • Увреждане на репутацията и доверието : Пробив, причинен от злонамерен софтуер със задна врата, може да навреди на репутацията на организацията и да подкопае доверието на клиентите. Организациите могат да се сблъскат със законови и регулаторни последици, особено ако не защитават адекватно чувствителните данни.
  • Финансови загуби : Усилията за възстановяване, включително криминалистични разследвания, системни ремонти и потенциални правни такси, могат да доведат до значителни финансови загуби за засегнатите организации. Освен това времето на престой и загубата на производителност могат да повлияят на приходите и оперативната ефективност.
  • Прекъсване на работата : Злонамереният софтуер със задна врата може да причини значителни смущения в работата, вариращи от прекъсване на услугата до компрометирана целостта на мрежата. Това може да засегне ежедневните операции и потенциално да доведе до загуба на бизнес възможности.
  • Дългосрочни компромиси : Ако не бъдат открити или не са коригирани правилно, задните врати могат постоянно да компрометират системите, позволявайки на нападателите текущ достъп и контрол. Този дългосрочен компромис може да разшири въздействието и да задълбочи сериозността на последствията с течение на времето.

В обобщение, заразяването със злонамерен софтуер със задна врата създава сериозни рискове за жертвите, включващи финансови, оперативни, репутационни и правни последици. Превантивните мерки като стабилни практики за киберсигурност, редовни одити и обучение на служителите са от решаващо значение за смекчаване на тези рискове и защита срещу такива заплахи.

Тенденция

Най-гледан

Зареждане...