GoRed tagauks

Vene organisatsioone on rünnanud küberkuritegude rühmitus nimega ExCobalt, mis kasutab äsja avastatud Golangil põhinevat tagaust nimega GoRed.

ExCobalt on spetsialiseerunud küberspionaažile ja koosneb mitmest liikmest, kes on tegutsenud vähemalt alates 2016. aastast ja on tõenäoliselt pärit kurikuulsast Cobalt Gangist. Cobalt Gang oli kurikuulus selle poolest, et sihtis finantseerimisasutusi raha võtma, ja üks nende allkirjatööriistadest oli CobInt. ExCobalt võttis CobInti kasutusele 2022. aastal.

Sihtmärkide vastu suunatud rünnakutes kasutatakse palju kahjustavaid tööriistu

Viimase aasta jooksul on ohutegutseja võtnud sihikule erinevad sektorid Venemaal, sealhulgas valitsus, infotehnoloogia, metallurgia, kaevandus, tarkvaraarendus ja telekommunikatsioon.

Ründajad saavad esmase juurdepääsu keskkondadele, kasutades ära varem ohustatud töövõtjat ja korraldades tarneahela rünnaku, kus nad nakatavad sihtettevõtte legitiimse tarkvara koostamiseks kasutatud komponenti, mis viitab kõrgele keerukuse tasemele.

Nende tööpõhimõte hõlmab mitmete tööriistade (nt Metasploit, Mimikatz , ProcDump, SMBExec ja Spark RAT) kasutamist nakatunud hostidel käskude täitmiseks, aga ka Linuxi privileegide eskaleerimise ärakasutusi (CVE-2019-13272, CVE-2021-3156, CVE-3156). -2021-4034 ja CVE-2022-2586).

GoRedi tagauks pakub ohunäitlejatele arvukalt pealetükkivaid toiminguid

GoRed, mis on selle loomisest saadik paljude iteratsioonide kaudu arenenud, on mitmekülgne tagauks, mis võimaldab operaatoritel täita käske, hankida mandaate ja koguda üksikasju aktiivsete protsesside, võrguliideste ja failisüsteemide kohta. See kasutab oma Command-and-Control (C2) serveriga suhtlemiseks protokolli Remote Procedure Call (RPC).

Lisaks toetab GoRed erinevaid taustakäske huvipakkuvate failide ja paroolide jälgimiseks, samuti vastupidise kesta lubamiseks. Seejärel eksporditakse kogutud andmed ründaja kontrollitavasse infrastruktuuri.

ExCobalt näitab jätkuvalt kõrget aktiivsust ja sihikindlust Venemaa ettevõtete suunamisel, lisades oma arsenali pidevalt uusi tööriistu ja täiustades oma tehnikaid. Lisaks näitab ExCobalt paindlikkust ja kohanemisvõimet, lisades oma tööriistakomplekti muudetud standardsed utiliidid, võimaldades rühmal turvakontrollidest hõlpsasti mööda minna ja kohaneda kaitsemeetodite muutustega.

Tagaukse pahavaranakkused võivad kaasa tuua tõsiseid tagajärgi

Tagaukse pahavaraga nakatumisel võivad selle ohvritele olla tõsised tagajärjed, mis võivad põhjustada:

• Volitamata juurdepääs : tagauksed võimaldavad ründajatel saada volitamata juurdepääsu nakatunud süsteemile või võrgule. See võib lõppeda isikuandmete vargusega, mis võib sisaldada isikuandmeid, finantsdokumente, intellektuaalomandit või salastatud valitsusteavet.
• Andmete vargus ja spionaaž : ründajad võivad ohustatud süsteemist andmeid välja filtreerida, mis võib viia andmetega seotud rikkumisteni. Seda kogutud teavet saab müüa Dark Web'is, kasutada identiteedivargusteks või konkureerivate organisatsioonide poolt konkurentsieelise saamiseks ära kasutada.
• Püsiv jälgimine : tagauksed võimaldavad sageli püsivat jälgimist, võimaldades ründajatel jälgida kasutaja tegevust, jäädvustada klahvivajutused, logida paroole ja jälgida võrguliiklust. See järelevalve võib kahjustada üksikisikute ja organisatsioonide konfidentsiaalsust ja privaatsust.
• Süsteemi manipuleerimine : ründajad võivad ohustatud süsteemiga manipuleerida kahjulikel eesmärkidel, näiteks käivitada uusi ründeid (nt levitada rämpsposti või käivitada DDoS-rünnakuid), muuta või kustutada andmeid või häirida kriitilisi teenuseid.
• Maine ja usalduse kahjustamine : tagaukse pahavara põhjustatud rikkumine võib kahjustada organisatsiooni mainet ja õõnestada klientide usaldust. Organisatsioonid võivad silmitsi seista juriidiliste ja regulatiivsete tagajärgedega, eriti kui nad ei kaitse tundlikke andmeid piisavalt.
• Rahalised kaotused : heastamistööd, sealhulgas kohtuekspertiisi uurimine, süsteemi remont ja võimalikud õigustasud, võivad mõjutatud organisatsioonidele kaasa tuua märkimisväärset rahalist kahju. Lisaks võivad seisakud ja tootlikkuse vähenemine mõjutada tulusid ja tegevuse tõhusust.
• Toimimishäired : tagaukse pahavara võib põhjustada olulisi tööhäireid, alates teenuse katkestustest kuni võrgu terviklikkuse kahjustamiseni. See võib mõjutada igapäevast tegevust ja potentsiaalselt viia ärivõimaluste kaotamiseni.
• Pikaajalised kompromissid : kui neid ei avastata või korralikult ei parandata, võivad tagauksed süsteeme pidevalt kahjustada, võimaldades ründajatel pidevat juurdepääsu ja kontrolli. See pikaajaline kompromiss võib aja jooksul mõju laiendada ja tagajärgede tõsidust süvendada.

Kokkuvõttes kujutab tagaukse pahavaraga nakatumine ohvritele tõsiseid riske, hõlmates finants-, tegevus-, maine- ja õiguslikke tagajärgi. Ennetavad meetmed, nagu tugevad küberjulgeolekutavad, regulaarsed auditid ja töötajate koolitus, on nende riskide maandamiseks ja selliste ohtude eest kaitsmiseks üliolulised.