GoRed 백도어

러시아 조직은 새로 발견된 GoRed라는 Golang 기반 백도어를 사용하는 ExCobalt로 알려진 사이버 범죄 그룹의 공격을 받았습니다.

ExCobalt는 사이버 스파이 활동을 전문으로 하며 악명 높은 Cobalt Gang에서 유래한 것으로 추정되는 2016년부터 활동해 온 여러 회원으로 구성되어 있습니다. Cobalt Gang은 금융 기관을 표적으로 삼아 돈을 빼내는 것으로 악명이 높았으며, 그들의 대표적인 도구 중 하나가 CobInt였습니다. ExCobalt는 2022년에 CobInt 의 사용을 채택했습니다.

표적 공격에 악용되는 수많은 손상 도구

지난 1년 동안 위협 행위자는 정부, 정보 기술, 야금, 광업, 소프트웨어 개발, 통신 등 러시아의 다양한 부문을 표적으로 삼았습니다.

공격자는 이전에 손상된 계약자를 악용하고 공급망 공격을 수행하여 환경에 대한 초기 액세스 권한을 얻습니다. 여기서 그들은 대상 회사의 합법적인 소프트웨어를 구축하는 데 사용되는 구성 요소를 감염시킵니다. 이는 높은 수준의 정교함을 나타냅니다.

이들의 작업 방식에는 감염된 호스트에서 명령을 실행하기 위한 Metasploit, Mimikatz , ProcDump, SMBExec 및 Spark RAT 와 같은 여러 도구와 Linux 권한 상승 익스플로잇(CVE-2019-13272, CVE-2021-3156, CVE)을 사용하는 것이 포함됩니다. -2021-4034 및 CVE-2022-2586).

GoRed 백도어는 위협 행위자에게 수많은 침입 작업을 제공합니다.

처음부터 수많은 반복을 통해 발전해 온 GoRed는 운영자가 명령을 실행하고, 자격 증명을 획득하고, 활성 프로세스, 네트워크 인터페이스 및 파일 시스템에 대한 세부 정보를 수집할 수 있는 다목적 백도어입니다. RPC(원격 프로시저 호출) 프로토콜을 활용하여 C2(명령 및 제어) 서버와 통신합니다.

또한 GoRed는 관심 있는 파일과 비밀번호를 모니터링하고 리버스 셸을 활성화하는 다양한 백그라운드 명령을 지원합니다. 수집된 데이터는 공격자가 제어하는 인프라로 내보내집니다.

ExCobalt는 지속적으로 무기고에 새로운 도구를 추가하고 기술을 개선하면서 러시아 기업을 표적으로 삼는 데 있어 높은 수준의 활동과 결단력을 계속해서 보여주고 있습니다. 또한 ExCobalt는 수정된 표준 유틸리티를 도구 세트에 통합하여 유연성과 적응성을 보여줌으로써 그룹이 쉽게 보안 제어를 우회하고 보호 방법의 변경에 적응할 수 있도록 합니다.

백도어 악성 코드 감염은 심각한 결과를 초래할 수 있습니다

백도어 악성 코드에 감염되면 피해자에게 다음과 같은 심각한 결과를 초래할 수 있습니다.

• 무단 액세스 : 백도어를 통해 공격자는 감염된 시스템이나 네트워크에 무단으로 액세스할 수 있습니다. 이는 개인 데이터, 재무 기록, 지적 재산 또는 기밀 정부 정보를 포함할 수 있는 개인 정보의 도난으로 이어질 수 있습니다.
• 데이터 도난 및 간첩 : 공격자는 손상된 시스템에서 데이터를 유출하여 잠재적인 데이터 침해로 이어질 수 있습니다. 이렇게 수집된 정보는 다크 웹에서 판매될 수 있으며, 신원 도용에 사용되거나 경쟁 조직의 경쟁 우위를 위해 악용될 수 있습니다.
• 지속적인 감시 : 백도어를 사용하면 공격자가 사용자 활동을 모니터링하고, 키 입력을 캡처하고, 암호를 기록하고, 네트워크 트래픽을 관찰할 수 있어 지속적인 감시가 가능해집니다. 이러한 감시는 개인과 조직의 기밀성과 프라이버시를 손상시킬 수 있습니다.
• 시스템 조작 : 공격자는 추가 공격 실행(예: 스팸 배포 또는 DDoS 공격 실행), 데이터 변경 또는 삭제, 중요한 서비스 중단 등 유해한 목적을 위해 손상된 시스템을 조작할 수 있습니다.
• 평판 및 신뢰 훼손 : 백도어 악성코드로 인한 침해는 조직의 평판을 손상시키고 고객의 신뢰를 약화시킬 수 있습니다. 조직은 특히 중요한 데이터를 적절하게 보호하지 않는 경우 법적 및 규제적 영향에 직면할 수 있습니다.
• 재정적 손실 : 포렌식 조사, 시스템 수리, 잠재적인 법적 비용을 포함한 교정 노력은 영향을 받은 조직에 상당한 재정적 손실을 초래할 수 있습니다. 또한 가동 중지 시간과 생산성 손실은 수익과 운영 효율성에 영향을 미칠 수 있습니다.
• 운영 중단 : 백도어 악성 코드는 서비스 중단부터 네트워크 무결성 손상까지 심각한 운영 중단을 일으킬 수 있습니다. 이는 일상적인 운영에 영향을 미칠 수 있으며 잠재적으로 비즈니스 기회의 손실로 이어질 수 있습니다.
• 장기적 침해 : 탐지되지 않거나 적절하게 해결되지 않으면 백도어가 시스템을 지속적으로 손상시켜 공격자가 지속적인 액세스 및 제어를 허용할 수 있습니다. 이러한 장기적인 타협은 시간이 지남에 따라 영향을 확대하고 결과의 심각성을 심화시킬 수 있습니다.

요약하면, 백도어 악성코드 감염은 재정적, 운영적, 평판적, 법적 영향을 포함하여 피해자에게 심각한 위험을 초래합니다. 이러한 위험을 완화하고 위협으로부터 보호하려면 강력한 사이버 보안 관행, 정기 감사, 직원 교육과 같은 예방 조치가 중요합니다.