Backdoor GoRed

Rosyjskie organizacje zostały zaatakowane przez grupę cyberprzestępczą znaną jako ExCobalt, która wykorzystuje nowo odkrytego backdoora o nazwie GoRed, zlokalizowanego w Golang.

ExCobalt specjalizuje się w cyberszpiegostwie i składa się z kilku członków działających co najmniej od 2016 r. i prawdopodobnie wywodzących się z niesławnego gangu Cobalt . Cobalt Gang słynął z atakowania instytucji finansowych w celu wyłudzenia pieniędzy, a jednym z ich charakterystycznych narzędzi był CobInt. ExCobalt przyjął CobInt w 2022 r.

Liczne narzędzia powodujące obrażenia wykorzystywane w atakach na cele

W ciągu ostatniego roku podmiot zagrażający obrał za cel różne sektory w Rosji, w tym rząd, technologie informacyjne, metalurgię, górnictwo, rozwój oprogramowania i telekomunikację.

Osoby atakujące uzyskują początkowy dostęp do środowisk, wykorzystując wcześniej skompromitowanego kontrahenta i przeprowadzając atak na łańcuch dostaw, podczas którego infekują komponent używany do tworzenia legalnego oprogramowania docelowej firmy, co wskazuje na wysoki poziom zaawansowania.

Ich sposób działania obejmuje użycie kilku narzędzi, takich jak Metasploit, Mimikatz , ProcDump, SMBExec i Spark RAT do wykonywania poleceń na zainfekowanych hostach, a także exploitów polegających na eskalacji uprawnień w systemie Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 i CVE-2022-2586).

Backdoor GoRed zapewnia liczne natrętne działania podmiotom zagrażającym

GoRed, który od samego początku ewoluował w licznych iteracjach, to wszechstronny backdoor umożliwiający operatorom wykonywanie poleceń, uzyskiwanie poświadczeń i zbieranie szczegółów na temat aktywnych procesów, interfejsów sieciowych i systemów plików. Wykorzystuje protokół zdalnego wywołania procedury (RPC) do komunikacji z serwerem dowodzenia i kontroli (C2).

Dodatkowo GoRed obsługuje różne polecenia w tle do monitorowania interesujących plików i haseł, a także umożliwia odwrotną powłokę. Zebrane dane są następnie eksportowane do infrastruktury kontrolowanej przez atakującego.

ExCobalt w dalszym ciągu wykazuje wysoki poziom aktywności i determinacji w atakowaniu rosyjskich firm, stale dodając nowe narzędzia do swojego arsenału i udoskonalając swoje techniki. Co więcej, ExCobalt wykazuje elastyczność i zdolność adaptacji, włączając do swojego zestawu narzędzi zmodyfikowane standardowe narzędzia, co pozwala grupie łatwo ominąć kontrole bezpieczeństwa i dostosować się do zmian w metodach ochrony.

Infekcja złośliwym oprogramowaniem typu backdoor może prowadzić do poważnych konsekwencji

Infekcja złośliwym oprogramowaniem typu backdoor może mieć poważne konsekwencje dla ofiar, prowadzące do:

• Nieautoryzowany dostęp : Backdoory umożliwiają atakującym uzyskanie nieautoryzowanego dostępu do zainfekowanego systemu lub sieci. Może to zakończyć się kradzieżą danych osobowych, które mogą obejmować dane osobowe, dokumentację finansową, własność intelektualną lub tajne informacje rządowe.
• Kradzież danych i szpiegostwo : osoby atakujące mogą wydobyć dane z zaatakowanego systemu, co może prowadzić do potencjalnych naruszeń bezpieczeństwa danych. Zebrane informacje mogą być sprzedawane w Dark Web, wykorzystywane do kradzieży tożsamości lub wykorzystywane do uzyskania przewagi konkurencyjnej przez konkurencyjne organizacje.
• Stały nadzór : Backdoory często umożliwiają trwały nadzór, umożliwiając atakującym monitorowanie aktywności użytkowników, przechwytywanie naciśnięć klawiszy, rejestrowanie haseł i obserwowanie ruchu sieciowego. Nadzór ten może zagrozić poufności i prywatności osób i organizacji.
• Manipulacja systemem : osoby atakujące mogą manipulować zaatakowanym systemem w szkodliwych celach, takich jak przeprowadzanie dalszych ataków (np. rozpowszechnianie spamu lub przeprowadzanie ataków DDoS), zmienianie lub usuwanie danych bądź zakłócanie krytycznych usług.
• Szkoda dla reputacji i zaufania : Naruszenie spowodowane złośliwym oprogramowaniem typu backdoor może zaszkodzić reputacji organizacji i podważyć zaufanie klientów. Organizacje mogą ponieść konsekwencje prawne i regulacyjne, zwłaszcza jeśli nie chronią odpowiednio danych wrażliwych.
• Straty finansowe : wysiłki zaradcze, w tym badania kryminalistyczne, naprawy systemów i potencjalne opłaty prawne, mogą prowadzić do znacznych strat finansowych dla dotkniętych organizacji. Co więcej, przestoje i straty w produktywności mogą mieć wpływ na przychody i efektywność operacyjną.
• Zakłócenia w działaniu : Szkodliwe oprogramowanie typu backdoor może powodować poważne zakłócenia w działaniu, począwszy od przerw w świadczeniu usług po naruszenie integralności sieci. Może to mieć wpływ na codzienną działalność i potencjalnie prowadzić do utraty możliwości biznesowych.
• Długoterminowe kompromisy : jeśli backdoory nie zostaną wykryte lub nie zostaną odpowiednio naprawione, mogą trwale zagrozić systemom, umożliwiając atakującym stały dostęp i kontrolę. Ten długoterminowy kompromis może z czasem rozszerzyć wpływ i pogłębić konsekwencje.

Podsumowując, infekcja złośliwym oprogramowaniem typu backdoor stwarza poważne ryzyko dla ofiar, obejmujące konsekwencje finansowe, operacyjne, reputacyjne i prawne. Środki zapobiegawcze, takie jak solidne praktyki w zakresie cyberbezpieczeństwa, regularne audyty i szkolenia pracowników, mają kluczowe znaczenie dla ograniczenia tego ryzyka i ochrony przed takimi zagrożeniami.