درب پشتی GoRed

سازمان‌های روسی توسط یک گروه جرایم سایبری به نام ExCobalt مورد حمله قرار گرفته‌اند که از یک درب پشتی تازه کشف‌شده مستقر در Golang به نام GoRed استفاده می‌کند.

ExCobalt در جاسوسی سایبری تخصص دارد و شامل چندین عضو است که حداقل از سال 2016 فعال بوده اند و احتمالاً از باند بدنام کبالت سرچشمه می گیرند. باند کبالت به دلیل هدف قرار دادن موسسات مالی برای گرفتن پول بدنام بود و یکی از ابزارهای امضای آنها CobInt بود. ExCobalt از CobInt در سال 2022 استفاده کرد.

ابزارهای مخرب متعددی که در حملات علیه اهداف مورد استفاده قرار می گیرند

در طول سال گذشته، این عامل تهدید بخش‌های مختلفی در روسیه از جمله دولت، فناوری اطلاعات، متالورژی، معدن، توسعه نرم‌افزار و مخابرات را هدف قرار داده است.

مهاجمان با بهره‌برداری از یک پیمانکار که قبلاً در معرض خطر قرار گرفته است و انجام یک حمله زنجیره تامین، دسترسی اولیه به محیط‌ها را به دست می‌آورند، جایی که آنها مؤلفه‌ای را که برای ساختن نرم‌افزار قانونی شرکت هدف استفاده می‌شود آلوده می‌کنند، که نشان‌دهنده سطح بالایی از پیچیدگی است.

روش کار آنها شامل استفاده از چندین ابزار مانند Metasploit، Mimikatz ، ProcDump، SMBExec، و Spark RAT برای اجرای دستورات بر روی میزبان های آلوده، و همچنین سوء استفاده های افزایش امتیاز لینوکس (CVE-2019-13272، CVE3120، CVE-2019-13272، CVE3120) است. -2021-4034 و CVE-2022-2586).

درب پشتی GoRed اقدامات مداخله جویانه متعددی را برای بازیگران تهدید فراهم می کند

GoRed که از زمان پیدایش خود طی تکرارهای متعدد تکامل یافته است، یک درب پشتی همه کاره است که اپراتورها را قادر می سازد تا دستورات را اجرا کنند، اعتبارنامه ها را دریافت کنند و جزئیات مربوط به فرآیندهای فعال، رابط های شبکه و سیستم های فایل را جمع آوری کنند. این پروتکل از پروتکل Remote Procedure Call (RPC) برای ارتباط با سرور Command-and-Control (C2) خود استفاده می کند.

علاوه بر این، GoRed از دستورات پس‌زمینه مختلف برای نظارت بر فایل‌های مورد علاقه و گذرواژه‌ها و همچنین فعال کردن پوسته معکوس پشتیبانی می‌کند. سپس داده های جمع آوری شده به زیرساخت های کنترل شده توسط مهاجم صادر می شود.

ExCobalt همچنان سطح بالایی از فعالیت و عزم را در هدف قرار دادن شرکت های روسی نشان می دهد و به طور مداوم ابزارهای جدیدی را به زرادخانه خود اضافه می کند و تکنیک های خود را اصلاح می کند. علاوه بر این، ExCobalt انعطاف پذیری و سازگاری را با گنجاندن ابزارهای استاندارد اصلاح شده در مجموعه ابزار خود نشان می دهد، که به گروه اجازه می دهد به راحتی کنترل های امنیتی را دور بزند و با تغییرات در روش های حفاظتی سازگار شود.

عفونت‌های بدافزار پشتی می‌تواند به عواقب شدید منجر شود

عفونت با یک بدافزار Backdoor می تواند عواقب شدیدی برای قربانیان خود داشته باشد که منجر به موارد زیر می شود:

• دسترسی غیرمجاز : درهای پشتی به مهاجمان اجازه می‌دهند تا دسترسی غیرمجاز به سیستم یا شبکه آلوده به دست آورند. این ممکن است به سرقت اطلاعات شخصی ختم شود که ممکن است شامل داده های شخصی، سوابق مالی، مالکیت معنوی یا اطلاعات طبقه بندی شده دولتی باشد.
• سرقت داده و جاسوسی : مهاجمان می توانند داده ها را از سیستم در معرض خطر استخراج کنند که منجر به نقض احتمالی داده ها می شود. این اطلاعات جمع‌آوری‌شده می‌تواند در تاریک وب فروخته شود، برای سرقت هویت استفاده شود یا برای مزیت رقابتی توسط سازمان‌های رقیب مورد سوء استفاده قرار گیرد.
• نظارت مداوم : درهای پشتی اغلب با اجازه دادن به مهاجمان برای نظارت بر فعالیت کاربر، گرفتن کلید، ثبت گذرواژه ها و مشاهده ترافیک شبکه، نظارت مداوم را فعال می کنند. این نظارت می تواند محرمانه بودن و حریم خصوصی افراد و سازمان ها را به خطر بیندازد.
• دستکاری سیستم : مهاجمان ممکن است سیستم در معرض خطر را برای اهداف مضر دستکاری کنند، مانند راه اندازی حملات بیشتر (به عنوان مثال، توزیع هرزنامه یا راه اندازی حملات DDoS)، تغییر یا حذف داده ها یا اختلال در سرویس های حیاتی.
• آسیب به شهرت و اعتماد : نقض ناشی از بدافزارهای پشتی می‌تواند به اعتبار سازمان آسیب برساند و اعتماد مشتری را از بین ببرد. سازمان ها ممکن است با پیامدهای قانونی و نظارتی مواجه شوند، به خصوص اگر از داده های حساس به اندازه کافی محافظت نکنند.
• زیان های مالی : تلاش های اصلاحی، از جمله تحقیقات پزشکی قانونی، تعمیرات سیستم، و هزینه های قانونی احتمالی، می تواند منجر به زیان های مالی قابل توجهی برای سازمان های آسیب دیده شود. علاوه بر این، از دست دادن زمان توقف و بهره وری می تواند بر درآمد و کارایی عملیاتی تأثیر بگذارد.
• اختلال عملیاتی : یک بدافزار backdoor می‌تواند باعث اختلالات عملیاتی قابل توجهی شود، از قطع سرویس تا به خطر افتادن یکپارچگی شبکه. این می تواند بر عملیات روزانه تأثیر بگذارد و به طور بالقوه منجر به از دست دادن فرصت های تجاری شود.
• سازش‌های طولانی‌مدت : اگر درهای پشتی شناسایی نشوند یا به درستی اصلاح نشوند، می‌توانند دائماً سیستم‌ها را در معرض خطر قرار دهند و به مهاجمان اجازه دسترسی و کنترل مداوم را می‌دهند. این مصالحه درازمدت می‌تواند تأثیر را افزایش داده و شدت عواقب را در طول زمان عمیق‌تر کند.

به طور خلاصه، آلودگی با بدافزارهای پشتی خطرات جدی برای قربانیان به همراه دارد که پیامدهای مالی، عملیاتی، اعتباری و قانونی را در بر می گیرد. اقدامات پیشگیرانه مانند شیوه های قوی امنیت سایبری، ممیزی های منظم و آموزش کارکنان برای کاهش این خطرات و محافظت در برابر چنین تهدیداتی بسیار مهم است.