GoRed Backdoor

Venäläisiä organisaatioita vastaan on hyökännyt ExCobalt-niminen kyberrikollisryhmä, joka käyttää äskettäin löydettyä Golang-pohjaista takaovea nimeltä GoRed.

ExCobalt on erikoistunut kybervakoiluun, ja siihen kuuluu useita jäseniä, jotka ovat olleet aktiivisia ainakin vuodesta 2016 lähtien ja ovat todennäköisesti peräisin pahamaineisesta Cobalt Gangista. Cobalt Gang oli pahamaineinen siitä, että se kohdistaa rahoituslaitokset ottamaan rahaa, ja yksi heidän allekirjoitustyökaluistaan oli CobInt. ExCobalt otti CobIntin käyttöön vuonna 2022.

Lukuisia vahingollisia työkaluja hyödynnetään hyökkäyksissä kohteita vastaan

Uhkatoimija on viimeisen vuoden aikana kohdistanut kohteensa eri sektoreille Venäjällä, mukaan lukien hallinto, tietotekniikka, metallurgia, kaivosteollisuus, ohjelmistokehitys ja tietoliikenne.

Hyökkääjät pääsevät alustavasti ympäristöihin hyödyntämällä aiemmin vaarantunutta urakoitsijaa ja suorittamalla toimitusketjuhyökkäyksen, jossa he tartuttavat kohdeyrityksen laillisen ohjelmiston rakentamiseen käytetyn komponentin, mikä osoittaa korkeaa kehittyneisyyttä.

Niiden toimintatapaan kuuluu useiden työkalujen, kuten Metasploit, Mimikatz , ProcDump, SMBExec ja Spark RAT , käyttäminen komentojen suorittamiseen tartunnan saaneilla isännillä sekä Linuxin käyttöoikeuksien eskalaatiohyödykkeet (CVE-2019-13272, CVE-2021-3156, CVE-3156). -2021-4034 ja CVE-2022-2586).

GoRed Backdoor tarjoaa lukuisia häiritseviä toimia uhkanäyttelijöille

GoRed, joka on kehittynyt lukuisten iteraatioiden kautta perustamisestaan lähtien, on monipuolinen takaovi, jonka avulla käyttäjät voivat suorittaa komentoja, hankkia valtuustietoja ja kerätä tietoja aktiivisista prosesseista, verkkoliitännöistä ja tiedostojärjestelmistä. Se käyttää Remote Procedure Call (RPC) -protokollaa kommunikoidakseen Command-and-Control (C2) -palvelimensa kanssa.

Lisäksi GoRed tukee erilaisia taustakomentoja kiinnostavien tiedostojen ja salasanojen valvontaan sekä käänteisen kuoren mahdollistamiseen. Kerätyt tiedot viedään sitten hyökkääjien hallitsemaan infrastruktuuriin.

ExCobalt osoittaa edelleen korkeaa aktiivisuutta ja päättäväisyyttä venäläisten yritysten kohdistamisessa, lisää jatkuvasti uusia työkaluja arsenaaliinsa ja jalostaa tekniikoitaan. Lisäksi ExCobalt osoittaa joustavuutta ja mukautumiskykyä sisällyttämällä työkaluihinsa muunneltuja vakioapuohjelmia, joiden avulla ryhmä voi helposti ohittaa turvatarkastukset ja mukautua suojausmenetelmien muutoksiin.

Takaoven haittaohjelmatartunnat voivat johtaa vakaviin seurauksiin

Takaoven haittaohjelmatartunnalla voi olla vakavia seurauksia sen uhreille, mikä johtaa:

• Luvaton pääsy : Takaovien avulla hyökkääjät voivat saada luvattoman pääsyn tartunnan saaneeseen järjestelmään tai verkkoon. Tämä voi päätyä henkilötietojen varkaukseen, joka voi sisältää henkilötietoja, taloudellisia tietoja, immateriaaliomaisuutta tai turvaluokiteltuja valtion tietoja.
• Tietovarkaus ja vakoilu : Hyökkääjät voivat suodattaa tietoja vaarantuneesta järjestelmästä, mikä johtaa mahdollisiin tietomurtoihin. Nämä kerätyt tiedot voidaan myydä Dark Webissä, käyttää identiteettivarkauksiin tai kilpailevat organisaatiot hyödyntää kilpailuetua.
• Pysyvä valvonta : Takaovet mahdollistavat usein jatkuvan valvonnan antamalla hyökkääjille mahdollisuuden seurata käyttäjien toimintaa, siepata näppäinpainalluksia, kirjata salasanoja ja tarkkailla verkkoliikennettä. Tämä valvonta voi vaarantaa yksilöiden ja organisaatioiden luottamuksellisuuden ja yksityisyyden.
• Järjestelmän manipulointi : Hyökkääjät voivat manipuloida vaarantunutta järjestelmää haitallisiin tarkoituksiin, kuten käynnistää uusia hyökkäyksiä (esim. jakaa roskapostia tai käynnistää DDoS-hyökkäyksiä), muuttaa tai poistaa tietoja tai häiritä kriittisiä palveluita.
• Maineelle ja luottamukselle aiheutuva vahinko : Takaoven haittaohjelmien aiheuttama tietomurto voi vahingoittaa organisaation mainetta ja heikentää asiakkaiden luottamusta. Organisaatiot voivat kohdata oikeudellisia ja lainsäädännöllisiä vaikutuksia, varsinkin jos ne eivät suojaa arkaluonteisia tietoja riittävästi.
• Taloudelliset tappiot : Korjaustoimet, mukaan lukien rikostekniset tutkimukset, järjestelmän korjaukset ja mahdolliset lakikulut, voivat aiheuttaa merkittäviä taloudellisia tappioita asianomaisille organisaatioille. Lisäksi seisokit ja tuottavuuden menetykset voivat vaikuttaa liikevaihtoon ja toiminnan tehokkuuteen.
• Toimintahäiriöt : Takaoven haittaohjelma voi aiheuttaa merkittäviä toimintahäiriöitä palvelukatkoksista verkon eheyden vaarantumiseen. Tämä voi vaikuttaa päivittäiseen toimintaan ja mahdollisesti johtaa liiketoimintamahdollisuuksien menettämiseen.
• Pitkäaikaiset kompromissit : Jos takaovia ei havaita tai niitä ei korjata kunnolla, ne voivat jatkuvasti vaarantua järjestelmissä, jolloin hyökkääjät voivat jatkuvasti käyttää ja hallita niitä. Tämä pitkän aikavälin kompromissi voi laajentaa vaikutusta ja syventää seurausten vakavuutta ajan myötä.

Yhteenvetona voidaan todeta, että takaoven haittaohjelmien aiheuttama tartunta aiheuttaa vakavia riskejä uhreille, ja se sisältää taloudellisia, toiminnallisia, maineeseen liittyviä ja oikeudellisia vaikutuksia. Ennaltaehkäisevät toimenpiteet, kuten vahvat kyberturvakäytännöt, säännölliset auditoinnit ja työntekijöiden koulutus, ovat ratkaisevan tärkeitä näiden riskien vähentämiseksi ja tällaisilta uhkilta suojautumiseksi.