GoRed Backdoor

Le organizzazioni russe sono state attaccate da un gruppo di criminalità informatica noto come ExCobalt, che utilizza una backdoor basata su Golang recentemente scoperta chiamata GoRed.

ExCobalt è specializzato in spionaggio informatico e comprende diversi membri attivi almeno dal 2016, probabilmente provenienti dalla famigerata Cobalt Gang. La Cobalt Gang era nota per prendere di mira le istituzioni finanziarie per prelevare denaro e uno dei loro strumenti distintivi era CobInt. ExCobalt ha adottato l'uso di CobInt nel 2022.

Numerosi strumenti dannosi sfruttati negli attacchi contro obiettivi

Nell’ultimo anno, l’autore della minaccia ha preso di mira diversi settori in Russia, tra cui il governo, l’informatica, la metallurgia, l’estrazione mineraria, lo sviluppo di software e le telecomunicazioni.

Gli aggressori ottengono l'accesso iniziale agli ambienti sfruttando un appaltatore precedentemente compromesso e conducendo un attacco alla catena di fornitura, in cui infettano un componente utilizzato per creare il software legittimo dell'azienda presa di mira, indicando un elevato livello di sofisticazione.

Il loro modus operandi prevede l'utilizzo di diversi strumenti, come Metasploit, Mimikatz , ProcDump, SMBExec e Spark RAT per l'esecuzione di comandi su host infetti, nonché exploit di escalation dei privilegi Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 e CVE-2022-2586).

La backdoor GoRed fornisce numerose azioni invasive agli attori della minaccia

GoRed, che si è evoluto attraverso numerose iterazioni sin dal suo inizio, è una backdoor versatile che consente agli operatori di eseguire comandi, ottenere credenziali e raccogliere dettagli su processi attivi, interfacce di rete e file system. Utilizza il protocollo RPC (Remote Procedure Call) per comunicare con il suo server di comando e controllo (C2).

Inoltre, GoRed supporta vari comandi in background per monitorare i file di interesse e le password, oltre ad abilitare una shell inversa. I dati raccolti vengono quindi esportati nell'infrastruttura controllata dagli aggressori.

ExCobalt continua a mostrare un alto livello di attività e determinazione nel prendere di mira le aziende russe, aggiungendo continuamente nuovi strumenti al suo arsenale e perfezionando le sue tecniche. Inoltre, ExCobalt dimostra flessibilità e adattabilità incorporando utilità standard modificate nel suo set di strumenti, consentendo al gruppo di aggirare facilmente i controlli di sicurezza e adattarsi ai cambiamenti nei metodi di protezione.

Le infezioni da malware backdoor potrebbero portare a gravi conseguenze

Un'infezione con un malware backdoor può avere gravi conseguenze per le sue vittime, portando a:

• Accesso non autorizzato : le backdoor consentono agli aggressori di ottenere l'accesso non autorizzato al sistema o alla rete infetta. Ciò può portare al furto di informazioni personali che possono includere dati personali, documenti finanziari, proprietà intellettuale o informazioni governative riservate.
• Furto di dati e spionaggio : gli aggressori possono esfiltrare dati dal sistema compromesso, portando a potenziali violazioni dei dati. Queste informazioni raccolte possono essere vendute sul Dark Web, utilizzate per il furto di identità o sfruttate per un vantaggio competitivo da organizzazioni rivali.
• Sorveglianza persistente : le backdoor spesso consentono una sorveglianza persistente consentendo agli aggressori di monitorare l'attività degli utenti, acquisire sequenze di tasti, registrare password e osservare il traffico di rete. Questa sorveglianza può compromettere la riservatezza e la privacy di individui e organizzazioni.
• Manipolazione del sistema : gli aggressori possono manipolare il sistema compromesso per scopi dannosi, come lanciare ulteriori attacchi (ad esempio, distribuire spam o lanciare attacchi DDoS), alterare o eliminare dati o interrompere servizi critici.
• Danni alla reputazione e alla fiducia : una violazione causata da malware backdoor può danneggiare la reputazione di un'organizzazione ed erodere la fiducia dei clienti. Le organizzazioni potrebbero dover affrontare ripercussioni legali e normative, soprattutto se non proteggono adeguatamente i dati sensibili.
• Perdite finanziarie : gli sforzi di riparazione, comprese indagini forensi, riparazioni del sistema e potenziali spese legali, possono portare a perdite finanziarie significative per le organizzazioni interessate. Inoltre, i tempi di inattività e le perdite di produttività possono incidere sui ricavi e sull’efficienza operativa.
• Interruzione operativa : un malware backdoor può causare interruzioni operative significative, che vanno dalle interruzioni del servizio alla compromissione dell'integrità della rete. Ciò può influire sulle operazioni quotidiane e potenzialmente portare alla perdita di opportunità commerciali.
• Compromissioni a lungo termine : se non rilevate o non adeguatamente risolte, le backdoor possono compromettere persistentemente i sistemi, consentendo agli aggressori accesso e controllo continui. Questo compromesso a lungo termine può estendere l’impatto e aggravare la gravità delle conseguenze nel tempo.

In sintesi, un’infezione da malware backdoor comporta seri rischi per le vittime, che comprendono ripercussioni finanziarie, operative, reputazionali e legali. Misure preventive come solide pratiche di sicurezza informatica, audit regolari e formazione dei dipendenti sono cruciali per mitigare questi rischi e proteggersi da tali minacce.