GoRed Backdoor

Orosz szervezeteket támadott meg az ExCobalt néven ismert számítógépes bűnözők csoportja, amely egy újonnan felfedezett Golang-alapú GoRed nevű hátsó ajtót alkalmaz.

Az ExCobalt a kiberkémkedésre specializálódott, és több olyan tagot foglal magában, akik legalább 2016 óta aktívak, valószínűleg a hírhedt Cobalt Gangból származnak. A Cobalt Gang hírhedt volt arról, hogy pénzintézeteket célzott meg pénz elvonására, és egyik aláírási eszközük a CobInt volt. Az ExCobalt 2022-ben vette át a CobInt használatát.

Számos kárt okozó eszközt használnak ki a célpontok elleni támadásokban

Az elmúlt évben a fenyegetettség szereplője Oroszország különböző szektorait célozta meg, beleértve a kormányzatot, az információtechnológiát, a kohászatot, a bányászatot, a szoftverfejlesztést és a távközlést.

A támadók kezdeti hozzáférést kapnak a környezetekhez egy korábban feltört vállalkozó kihasználásával és egy ellátási lánc támadást végrehajtva, ahol megfertőzik a célvállalat legális szoftverének felépítéséhez használt összetevőt, ami magas szintű kifinomultságot jelez.

Működésük során számos eszközt használnak, mint például a Metasploit, Mimikatz , ProcDump, SMBExec és a Spark RAT parancsok végrehajtását a fertőzött gépeken, valamint Linux privilégium-eszkalációs exploitokat (CVE-2019-13272, CVE-2021-3156, CVE-3156). -2021-4034 és CVE-2022-2586).

A GoRed Backdoor számos tolakodó akciót kínál a fenyegetés szereplőinek

A GoRed, amely megalakulása óta számos iteráción keresztül fejlődött, egy sokoldalú hátsó ajtó, amely lehetővé teszi a kezelők számára, hogy parancsokat hajtsanak végre, hitelesítő adatokat szerezzenek be, és adatokat gyűjtsenek az aktív folyamatokról, hálózati interfészekről és fájlrendszerekről. A Remote Procedure Call (RPC) protokollt használja a Command-and-Control (C2) szerverével való kommunikációhoz.

Ezenkívül a GoRed különféle háttérparancsokat támogat az érdeklődésre számot tartó fájlok és jelszavak figyelésére, valamint a fordított shell engedélyezésére. Az összegyűjtött adatokat ezután exportálják a támadók által vezérelt infrastruktúrába.

Az ExCobalt továbbra is magas szintű aktivitást és eltökéltséget mutat az orosz vállalatok megcélzásában, folyamatosan új eszközökkel bővíti arzenálját és finomítja technikáit. Ezenkívül az ExCobalt rugalmasságot és alkalmazkodóképességet mutat azáltal, hogy módosított szabványos segédprogramokat épít be eszközkészletébe, lehetővé téve a csoport számára, hogy könnyen megkerülje a biztonsági ellenőrzéseket, és alkalmazkodjon a védelmi módszerek változásaihoz.

A Backdoor malware fertőzések súlyos következményekkel járhatnak

A hátsó ajtó rosszindulatú programjával való fertőzés súlyos következményekkel járhat áldozatai számára, ami a következőkhöz vezethet:

• Jogosulatlan hozzáférés : A hátsó ajtók lehetővé teszik a támadók számára, hogy jogosulatlan hozzáférést kapjanak a fertőzött rendszerhez vagy hálózathoz. Ez olyan személyes adatok ellopásával végződhet, amelyek személyes adatokat, pénzügyi nyilvántartásokat, szellemi tulajdont vagy minősített kormányzati információkat tartalmazhatnak.
• Adatlopás és kémkedés : A támadók kiszűrhetik az adatokat a feltört rendszerből, ami potenciális adatszivárgáshoz vezethet. Ezt az összegyűjtött információt eladhatják a sötét weben, felhasználhatják személyazonosság-lopásra, vagy versenyelőnyre használhatják fel a rivális szervezetek.
• Állandó felügyelet : A hátsó ajtók gyakran lehetővé teszik az állandó felügyeletet azáltal, hogy lehetővé teszik a támadók számára a felhasználói tevékenységek figyelését, a billentyűleütések rögzítését, a jelszavak naplózását és a hálózati forgalom megfigyelését. Ez a megfigyelés veszélyeztetheti az egyének és szervezetek bizalmas kezelését és magánéletét.
• Rendszermanipuláció : A támadók káros célokra manipulálhatják a feltört rendszert, például további támadásokat indíthatnak (pl. spam terjesztése vagy DDoS támadások elindítása), adatok megváltoztatása vagy törlése vagy kritikus szolgáltatások megzavarása.
• A jó hírnév és a bizalom károsodása : A backdoor rosszindulatú program által okozott jogsértés károsíthatja a szervezet hírnevét, és alááshatja az ügyfelek bizalmát. A szervezetek jogi és szabályozási következményekkel szembesülhetnek, különösen, ha nem védik megfelelően az érzékeny adatokat.
• Pénzügyi veszteségek : A kárelhárítási erőfeszítések, beleértve a törvényszéki vizsgálatokat, a rendszerjavításokat és az esetleges jogi költségeket, jelentős pénzügyi veszteségekhez vezethetnek az érintett szervezetek számára. Ezenkívül az állásidő és a termelékenység csökkenése hatással lehet a bevételre és a működési hatékonyságra.
• Működési zavarok : A hátsó ajtóban lévő rosszindulatú programok jelentős működési zavarokat okozhatnak, a szolgáltatáskimaradásoktól a hálózati integritás megsérté séig. Ez hatással lehet a napi működésre, és potenciálisan üzleti lehetőségek elvesztéséhez vezethet.
• Hosszú távú kompromisszumok : Ha nem észlelik, vagy nem javítják megfelelően, a hátsó ajtók folyamatosan veszélyeztethetik a rendszereket, lehetővé téve a támadók számára a folyamatos hozzáférést és ellenőrzést. Ez a hosszú távú kompromisszum idővel kiterjesztheti a hatást és elmélyítheti a következmények súlyosságát.

Összefoglalva, a hátsó ajtók rosszindulatú programjaival való fertőzés komoly kockázatot jelent az áldozatok számára, beleértve a pénzügyi, működési, hírnévvel kapcsolatos és jogi következményeket. Az olyan megelőző intézkedések, mint a szilárd kiberbiztonsági gyakorlatok, a rendszeres auditok és az alkalmazottak képzése alapvető fontosságúak e kockázatok mérséklése és az ilyen fenyegetések elleni védelem érdekében.