GoRed-achterdeur

Russische organisaties zijn aangevallen door een cybercriminaliteitsgroep die bekend staat als ExCobalt en die gebruik maakt van een nieuw ontdekte, op Golang gebaseerde achterdeur genaamd GoRed.

ExCobalt is gespecialiseerd in cyberspionage en bestaat uit verschillende leden die in ieder geval sinds 2016 actief zijn, waarschijnlijk afkomstig uit de beruchte Cobalt Gang. De Cobalt Gang was berucht omdat ze zich op financiële instellingen richtte om geld af te pakken, en een van hun kenmerkende instrumenten was CobInt. ExCobalt adopteerde het gebruik van CobInt in 2022.

Talloze schadelijke hulpmiddelen worden uitgebuit bij aanvallen op doelen

Het afgelopen jaar heeft de bedreigingsactoren zich gericht op verschillende sectoren in Rusland, waaronder de overheid, informatietechnologie, metallurgie, mijnbouw, softwareontwikkeling en telecommunicatie.

De aanvallers krijgen aanvankelijk toegang tot omgevingen door een eerder gecompromitteerde aannemer te exploiteren en een supply chain-aanval uit te voeren, waarbij ze een component infecteren die wordt gebruikt om de legitieme software van het doelbedrijf te bouwen, wat wijst op een hoog niveau van verfijning.

Hun modus operandi omvat het gebruik van verschillende tools, zoals Metasploit, Mimikatz , ProcDump, SMBExec en de Spark RAT voor het uitvoeren van opdrachten op geïnfecteerde hosts, evenals escalatie-exploits voor Linux-rechten (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 en CVE-2022-2586).

De GoRed-achterdeur biedt talloze opdringerige acties tegen de bedreigingsactoren

GoRed, dat sinds de oprichting door talloze iteraties is geëvolueerd, is een veelzijdige achterdeur waarmee operators opdrachten kunnen uitvoeren, inloggegevens kunnen verkrijgen en details kunnen verzamelen over actieve processen, netwerkinterfaces en bestandssystemen. Het maakt gebruik van het Remote Procedure Call (RPC)-protocol om te communiceren met de Command-and-Control (C2)-server.

Bovendien ondersteunt GoRed verschillende achtergrondopdrachten om interessante bestanden en wachtwoorden te controleren, en maakt het een omgekeerde shell mogelijk. De verzamelde gegevens worden vervolgens geëxporteerd naar een door de aanvaller gecontroleerde infrastructuur.

ExCobalt blijft een hoog niveau van activiteit en vastberadenheid tonen bij het aanvallen op Russische bedrijven, door voortdurend nieuwe instrumenten aan zijn arsenaal toe te voegen en zijn technieken te verfijnen. Bovendien demonstreert ExCobalt flexibiliteit en aanpassingsvermogen door aangepaste standaardhulpprogramma's in zijn toolset op te nemen, waardoor de groep gemakkelijk beveiligingscontroles kan omzeilen en zich kan aanpassen aan veranderingen in beveiligingsmethoden.

Backdoor-malware-infecties kunnen tot ernstige gevolgen leiden

Een infectie met backdoor-malware kan ernstige gevolgen hebben voor de slachtoffers, wat kan leiden tot:

• Ongeautoriseerde toegang : Met achterdeuren kunnen aanvallers ongeautoriseerde toegang verkrijgen tot het geïnfecteerde systeem of netwerk. Dit kan leiden tot de diefstal van persoonlijke informatie, waaronder mogelijk persoonlijke gegevens, financiële gegevens, intellectueel eigendom of geheime overheidsinformatie.
• Gegevensdiefstal en spionage : aanvallers kunnen gegevens uit het gecompromitteerde systeem exfiltreren, wat tot potentiële datalekken kan leiden. Deze verzamelde informatie kan worden verkocht op het Dark Web, worden gebruikt voor identiteitsdiefstal of worden uitgebuit voor concurrentievoordeel door rivaliserende organisaties.
• Aanhoudende bewaking : Backdoors maken vaak aanhoudende bewaking mogelijk doordat aanvallers gebruikersactiviteiten kunnen monitoren, toetsaanslagen kunnen vastleggen, wachtwoorden kunnen registreren en netwerkverkeer kunnen observeren. Deze surveillance kan de vertrouwelijkheid en privacy van individuen en organisaties in gevaar brengen.
• Systeemmanipulatie : Aanvallers kunnen het aangetaste systeem manipuleren voor schadelijke doeleinden, zoals het lanceren van nieuwe aanvallen (bijvoorbeeld het verspreiden van spam of het lanceren van DDoS-aanvallen), het wijzigen of verwijderen van gegevens of het verstoren van kritieke services.
• Schade aan reputatie en vertrouwen : Een inbreuk veroorzaakt door backdoor-malware kan de reputatie van een organisatie beschadigen en het vertrouwen van klanten ondermijnen. Organisaties kunnen te maken krijgen met juridische en regelgevende gevolgen, vooral als ze gevoelige gegevens niet adequaat beschermen.
• Financiële verliezen : herstelinspanningen, waaronder forensisch onderzoek, systeemreparaties en mogelijke juridische kosten, kunnen leiden tot aanzienlijke financiële verliezen voor getroffen organisaties. Bovendien kunnen downtime en productiviteitsverlies de omzet en operationele efficiëntie beïnvloeden.
• Operationele verstoring : Een backdoor-malware kan aanzienlijke operationele verstoringen veroorzaken, variërend van servicestoringen tot aangetaste netwerkintegriteit. Dit kan de dagelijkse bedrijfsvoering beïnvloeden en mogelijk leiden tot verlies van zakelijke kansen.
• Compromissen op lange termijn : als backdoors niet worden opgemerkt of niet op de juiste manier worden verholpen, kunnen ze systemen voortdurend in gevaar brengen, waardoor aanvallers voortdurend toegang en controle krijgen. Dit langetermijncompromis kan de impact vergroten en de ernst van de gevolgen in de loop van de tijd verdiepen.

Samenvattend kan worden gezegd dat een infectie met backdoor-malware ernstige risico's voor de slachtoffers met zich meebrengt, met financiële, operationele, reputatie- en juridische gevolgen. Preventieve maatregelen zoals robuuste cyberbeveiligingspraktijken, regelmatige audits en opleiding van medewerkers zijn van cruciaal belang om deze risico's te beperken en zich tegen dergelijke bedreigingen te beschermen.