Multi-License Discount Quote
Base de dades d'amenaces Backdoors GoRed Backdoor

GoRed Backdoor

El Mezo el Backdoors, Advanced Persistent Threat (APT), Malware
Traduir a:
Català

Les organitzacions russes han estat atacades per un grup de ciberdelinqüència conegut com ExCobalt, que utilitza una porta posterior descoberta a Golang anomenada GoRed.

ExCobalt s'especialitza en l'espionatge cibernètic i està format per diversos membres que han estat actius almenys des del 2016, probablement provinents de la famós Cobalt Gang. The Cobalt Gang era coneguda per dirigir-se a les institucions financeres per agafar diners, i una de les seves eines de signatura era CobInt. ExCobalt va adoptar l'ús de CobInt el 2022.

Nombroses eines perjudicials explotades en atacs contra objectius

Durant l'últim any, l'actor de l'amenaça s'ha dirigit a diversos sectors a Rússia, com ara el govern, la tecnologia de la informació, la metal·lúrgia, la mineria, el desenvolupament de programari i les telecomunicacions.

Els atacants obtenen accés inicial als entorns explotant un contractista prèviament compromès i realitzant un atac a la cadena de subministrament, on infecten un component utilitzat per crear el programari legítim de l'empresa objectiu, cosa que indica un alt nivell de sofisticació.

El seu modus operandi implica l'ús de diverses eines, com Metasploit, Mimikatz , ProcDump, SMBExec i Spark RAT per executar ordres en amfitrions infectats, així com explotacions d'escalada de privilegis de Linux (CVE-2019-13272, CVE-2021-3156, CVE). -2021-4034 i CVE-2022-2586).

La porta posterior GoRed ofereix nombroses accions intrusives als actors de l'amenaça

GoRed, que ha evolucionat a través de nombroses iteracions des dels seus inicis, és una porta posterior versàtil que permet als operadors executar ordres, obtenir credencials i recopilar detalls sobre processos actius, interfícies de xarxa i sistemes de fitxers. Utilitza el protocol de trucada de procediment remot (RPC) per comunicar-se amb el seu servidor d'ordres i control (C2).

A més, GoRed admet diverses ordres de fons per supervisar fitxers d'interès i contrasenyes, així com habilitar un shell invers. Les dades recopilades s'exporten a una infraestructura controlada per l'atacant.

ExCobalt continua mostrant un alt nivell d'activitat i determinació a l'hora d'orientar les empreses russes, afegint contínuament noves eines al seu arsenal i perfeccionant les seves tècniques. A més, ExCobalt demostra flexibilitat i adaptabilitat incorporant utilitats estàndard modificades al seu conjunt d'eines, cosa que permet al grup evitar fàcilment els controls de seguretat i ajustar-se als canvis en els mètodes de protecció.

Les infeccions de programari maliciós de la porta posterior poden tenir conseqüències greus

Una infecció amb un programari maliciós de la porta del darrere pot tenir conseqüències greus per a les seves víctimes, donant lloc a:

  • Accés no autoritzat : les portes del darrere permeten als atacants obtenir accés no autoritzat al sistema o xarxa infectats. Això pot acabar amb el robatori d'informació personal que pot incloure dades personals, registres financers, propietat intel·lectual o informació governamental classificada.
  • Robatori de dades i espionatge : els atacants poden exfiltrar dades del sistema compromès, donant lloc a possibles violacions de dades. Aquesta informació recollida es pot vendre a la web fosca, utilitzar-se per robar identitat o explotar per obtenir un avantatge competitiu per organitzacions rivals.
  • Vigilància persistent : les portes posteriors sovint permeten una vigilància persistent, ja que permeten als atacants supervisar l'activitat dels usuaris, capturar les pulsacions de tecla, registrar contrasenyes i observar el trànsit de la xarxa. Aquesta vigilància pot comprometre la confidencialitat i la privadesa de persones i organitzacions.
  • Manipulació del sistema : els atacants poden manipular el sistema compromès amb finalitats nocives, com ara llançar més atacs (per exemple, distribuir correu brossa o llançar atacs DDoS), alterar o suprimir dades o interrompre serveis crítics.
  • Danys a la reputació i la confiança : una violació causada per programari maliciós de porta posterior pot danyar la reputació d'una organització i erosionar la confiança dels clients. Les organitzacions poden enfrontar-se a repercussions legals i normatives, especialment si no protegeixen les dades sensibles de manera adequada.
  • Pèrdues financeres : els esforços de reparació, incloses les investigacions forenses, les reparacions del sistema i les possibles despeses legals, poden provocar pèrdues financeres importants per a les organitzacions afectades. A més, el temps d'inactivitat i les pèrdues de productivitat poden afectar els ingressos i l'eficiència operativa.
  • Interrupció operativa : un programari maliciós de porta posterior pot causar interrupcions operatives importants, que van des d'interrupcions del servei fins a la integritat de la xarxa compromesa. Això pot afectar les operacions diàries i pot provocar la pèrdua d'oportunitats de negoci.
  • Compromisos a llarg termini : si no es detecten o no es corregeix correctament, les portes posteriors poden comprometre els sistemes de manera persistent, permetent als atacants l'accés i el control continus. Aquest compromís a llarg termini pot allargar l'impacte i aprofundir en la gravetat de les conseqüències al llarg del temps.

En resum, una infecció amb programari maliciós de porta posterior suposa greus riscos per a les víctimes, que inclou repercussions financeres, operatives, reputacionals i legals. Les mesures preventives, com ara pràctiques sòlides de ciberseguretat, auditories periòdiques i formació dels empleats, són crucials per mitigar aquests riscos i protegir-se d'aquestes amenaces.

Tendència

Més vist

Carregant...