Multi-License Discount Quote
Banco de Dados de Ameaças Backdoors GoRed Backdoor

GoRed Backdoor

Por Mezo em Backdoors, Ameaça Persistente Avançada (APT), Malware
Traduzir Para:
Português

Organizações russas foram atacadas por um grupo de crimes cibernéticos conhecido como ExCobalt, que emprega um backdoor recém-descoberto baseado em Golang chamado GoRed.

A ExCobalt é especializada em espionagem cibernética e compreende vários membros ativos desde pelo menos 2016, provavelmente originários da infame Gangue Cobalt. A Gangue Cobalt era famosa por ter como alvo instituições financeiras para receber dinheiro, e uma de suas ferramentas de assinatura era o CobInt. A ExCobalt adotou o uso do CobInt em 2022.

Numerosas Ferramentas Prejudiciais Exploradas em Ataques contra os Alvos

Durante o ano passado, o agente da ameaça teve como alvo vários setores na Rússia, incluindo governo, tecnologia da informação, metalurgia, mineração, desenvolvimento de software e telecomunicações.

Os invasores obtêm acesso inicial aos ambientes explorando um fornecedor previamente comprometido e conduzindo um ataque à cadeia de suprimentos, onde infectam um componente usado para construir o software legítimo da empresa alvo, indicando um alto nível de sofisticação.

Seu modus operandi envolve o uso de diversas ferramentas, como Metasploit, Mimikatz, ProcDump, SMBExec e Spark RAT para executar comandos em hosts infectados, bem como explorações de escalonamento de privilégios do Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 e CVE-2022-2586).

O GoRed Backdoor Executa Inúmeras Ações Intrusivas para os Autores da Ameaça

O GoRed, que evoluiu através de inúmeras iterações desde a sua criação, é um backdoor versátil que permite aos operadores executar comandos, obter credenciais e reunir detalhes sobre processos ativos, interfaces de rede e sistemas de arquivos. Ele utiliza o protocolo Remote Procedure Call (RPC) para se comunicar com seu servidor de Comando e Controle (C2).

Além disso, o GoRed oferece suporte a vários comandos em segundo plano para monitorar arquivos de interesse e senhas, além de ativar um shell reverso. Os dados coletados são então exportados para uma infraestrutura controlada pelo invasor.

A ExCobalt continua a demonstrar um elevado nível de atividade e determinação na abordagem às empresas russas, acrescentando continuamente novas ferramentas ao seu arsenal e refinando as suas técnicas. Além disso, o ExCobalt demonstra flexibilidade e adaptabilidade ao incorporar utilitários padrão modificados em seu conjunto de ferramentas, permitindo que o grupo contorne facilmente os controles de segurança e se ajuste às mudanças nos métodos de proteção.

As Infecções por um Malware Backdoor podem Levar a Consequências Graves

Uma infecção por um malware backdoor pode ter consequências graves para suas vítimas, levando a:

  • Acesso não autorizado : Backdoors permitem que invasores obtenham acesso não autorizado ao sistema ou rede infectado. Isto pode resultar no roubo de informações pessoais que podem incluir dados pessoais, registros financeiros, propriedade intelectual ou informações governamentais confidenciais.
  • Roubo de dados e espionagem : Os invasores podem exfiltrar dados do sistema comprometido, levando a possíveis violações de dados. Essas informações coletadas podem ser vendidas na Dark Web, usadas para roubo de identidade ou exploradas para obter vantagem competitiva por organizações rivais.
  • Vigilância persistente : Backdoors geralmente permitem vigilância persistente, permitindo que invasores monitorem a atividade do usuário, capturem pressionamentos de teclas, registrem senhas e observem o tráfego da rede. Esta vigilância pode comprometer a confidencialidade e a privacidade de indivíduos e organizações.
  • Manipulação do sistema : Os invasores podem manipular o sistema comprometido para fins prejudiciais, como lançar novos ataques (por exemplo, distribuir spam ou lançar ataques DDoS), alterar ou excluir dados ou interromper serviços críticos.
  • Danos à reputação e à confiança : Uma violação causada por malware backdoor pode prejudicar a reputação de uma organização e minar a confiança do cliente. As organizações podem enfrentar repercussões legais e regulamentares, especialmente se não protegerem adequadamente os dados sensíveis.
  • Perdas financeiras : Os esforços de remediação, incluindo investigações forenses, reparos de sistemas e possíveis honorários advocatícios, podem levar a perdas financeiras significativas para as organizações afetadas. Além disso, o tempo de inatividade e as perdas de produtividade podem afetar a receita e a eficiência operacional.
  • Interrupção operacional : Um malware backdoor pode causar interrupções operacionais significativas, que vão desde interrupções de serviço até comprometimento da integridade da rede. Isto pode afetar as operações diárias e potencialmente levar à perda de oportunidades de negócios.
  • Comprometimentos de longo prazo : Se não forem detectados ou não forem corrigidos adequadamente, os backdoors podem comprometer persistentemente os sistemas, permitindo aos invasores acesso e controle contínuos. Este compromisso a longo prazo pode prolongar o impacto e aprofundar a gravidade das consequências ao longo do tempo.

Em resumo, uma infecção por malware backdoor representa sérios riscos para as vítimas, abrangendo repercussões financeiras, operacionais, de reputação e legais. Medidas preventivas, como práticas robustas de cibersegurança, auditorias regulares e formação de funcionários, são cruciais para mitigar estes riscos e proteger contra tais ameaças.

Tendendo

Mais visto

Carregando...