GoRed Backdoor

ארגונים רוסים הותקפו על ידי קבוצת פשעי סייבר הידועה בשם ExCobalt, שמשתמשת בדלת אחורית מבוססת גולאנג שהתגלתה לאחרונה בשם GoRed.

ExCobalt מתמחה בריגול סייבר וכוללת כמה חברים שהיו פעילים לפחות מאז 2016, ככל הנראה מקורם בכנופיית קובלט הידועה לשמצה. כנופיית קובלט הייתה ידועה לשמצה בכך שהיא מכוונת למוסדות פיננסיים כדי לקחת כסף, ואחד הכלים החתומים שלהם היה CobInt. ExCobalt אימצה את השימוש ב- CobInt בשנת 2022.

כלים מזיקים רבים מנוצלים בהתקפות נגד מטרות

במהלך השנה האחרונה, שחקן האיום פנה למגזרים שונים ברוסיה, כולל ממשל, טכנולוגיית מידע, מטלורגיה, כרייה, פיתוח תוכנה וטלקומוניקציה.

התוקפים מקבלים גישה ראשונית לסביבות על ידי ניצול קבלן שנפגע בעבר וביצוע התקפת שרשרת אספקה, שם הם מדביקים רכיב המשמש לבניית התוכנה הלגיטימית של חברת היעד, מה שמעיד על רמה גבוהה של תחכום.

אופן הפעולה שלהם כולל שימוש במספר כלים, כגון Metasploit, Mimikatz , ProcDump, SMBExec ו- Spark RAT לביצוע פקודות על מארחים נגועים, כמו גם ניצול הסלמה של הרשאות לינוקס (CVE-2019-13272, CVE-2021-3156, CVE-2021-3156, CVE-2021-3156 -2021-4034, ו-CVE-2022-2586).

הדלת האחורית של GoRed מספקת פעולות חודרניות רבות לשחקני האיום

GoRed, שהתפתחה באמצעות איטרציות רבות מאז הקמתה, היא דלת אחורית רב-תכליתית המאפשרת למפעילים לבצע פקודות, להשיג אישורים ולאסוף פרטים על תהליכים פעילים, ממשקי רשת ומערכות קבצים. הוא משתמש בפרוטוקול Remote Procedure Call (RPC) כדי לתקשר עם שרת ה-Command-and-Control (C2) שלו.

בנוסף, GoRed תומך בפקודות רקע שונות לניטור קבצי עניין וסיסמאות, כמו גם הפעלת מעטפת הפוכה. הנתונים שנאספו מיוצאים לאחר מכן לתשתית הנשלטת על ידי תוקף.

ExCobalt ממשיכה להראות רמה גבוהה של פעילות ונחישות במיקוד לחברות רוסיות, ומוסיפה כל הזמן כלים חדשים לארסנל שלה ומשכללת את הטכניקות שלה. יתרה מכך, ExCobalt מפגין גמישות ויכולת הסתגלות על ידי שילוב כלי עזר סטנדרטיים מתוקנים בערכת הכלים שלה, מה שמאפשר לקבוצה לעקוף בקלות את בקרות האבטחה ולהסתגל לשינויים בשיטות ההגנה.

זיהומים של תוכנות זדוניות בדלת אחורית עלולות להוביל לתוצאות חמורות

לזיהום בתוכנה זדונית בדלת אחורית עלולות להיות השלכות חמורות על הקורבנות שלה, מה שמוביל ל:

• גישה לא מורשית : דלתות אחוריות מאפשרות לתוקפים לקבל גישה לא מורשית למערכת או לרשת הנגועים. זה יכול להסתיים בגניבה של מידע אישי שעשוי לכלול נתונים אישיים, רשומות פיננסיות, קניין רוחני או מידע ממשלתי מסווג.
• גניבת נתונים וריגול : תוקפים יכולים לסנן נתונים מהמערכת שנפרצה, מה שיוביל לפרצות מידע פוטנציאליות. מידע שנאסף זה יכול להימכר ברשת האפלה, להשתמש בו לגניבת זהות או לנצל לטובת תחרות על ידי ארגונים יריבים.
• מעקב מתמשך : דלתות אחוריות מאפשרות לעתים קרובות מעקב מתמשך בכך שהם מאפשרים לתוקפים לנטר את פעילות המשתמש, ללכוד הקשות, לרשום סיסמאות ולצפות בתעבורת הרשת. מעקב זה עלול לסכן את הסודיות והפרטיות של אנשים וארגונים.
• מניפולציה של מערכת : תוקפים עלולים לתמרן את המערכת שנפרצה למטרות מזיקות, כגון הפעלת התקפות נוספות (למשל, הפצת ספאם או הפעלת התקפות DDoS), שינוי או מחיקת נתונים או שיבוש שירותים קריטיים.
• פגיעה במוניטין ובאמון : פריצה הנגרמת על ידי תוכנה זדונית בדלת אחורית עלולה לפגוע במוניטין של הארגון ולשחוק את אמון הלקוחות. ארגונים עשויים להתמודד עם השלכות משפטיות ורגולטוריות, במיוחד אם הם לא מגנים על נתונים רגישים בצורה מספקת.
• הפסדים כספיים : מאמצי תיקון, כולל חקירות משפטיות, תיקוני מערכות והוצאות משפט פוטנציאליות, עלולים להוביל להפסדים כספיים משמעותיים עבור ארגונים שנפגעו. יתר על כן, הפסדי זמן השבתה ואובדן פרודוקטיביות יכולים להשפיע על ההכנסות ועל היעילות התפעולית.
• הפרעה תפעולית : תוכנה זדונית בדלת האחורית יכולה לגרום לשיבושים תפעוליים משמעותיים, החל מהפסקות שירות ועד לפגיעה בשלמות הרשת. זה יכול להשפיע על הפעילות היומיומית ועלול להוביל לאובדן הזדמנויות עסקיות.
• פשרות ארוכות טווח : אם לא מזוהים או לא מתוקנים כראוי, דלתות אחוריות עלולות לסכן מערכות באופן מתמשך, ולאפשר לתוקפים גישה ושליטה מתמשכת. פשרה ארוכת טווח זו יכולה להאריך את ההשפעה ולהעמיק את חומרת ההשלכות לאורך זמן.

לסיכום, זיהום בתוכנה זדונית בדלת אחורית מהווה סיכונים רציניים לקורבנות, וכולל השלכות כספיות, תפעוליות, מוניטין ומשפטיות. אמצעי מניעה כגון נוהלי אבטחת סייבר חזקים, ביקורות סדירות והכשרת עובדים הם חיוניים כדי לצמצם סיכונים אלה ולהגן מפני איומים כאלה.