GoRed Backdoor

Organizațiile rusești au fost atacate de un grup de criminalitate cibernetică cunoscut sub numele de ExCobalt, care folosește o ușă din spate nou descoperită din Golang, numită GoRed.

ExCobalt este specializată în spionaj cibernetic și cuprinde mai mulți membri care au fost activi din cel puțin 2016, probabil provenind din infama Banda Cobalt . Banda Cobalt era cunoscută pentru că vizează instituțiile financiare pentru a lua bani, iar unul dintre instrumentele lor de semnătură a fost CobInt. ExCobalt a adoptat utilizarea CobInt în 2022.

Numeroase instrumente dăunătoare exploatate în atacurile împotriva țintelor

În ultimul an, actorul amenințării a vizat diverse sectoare din Rusia, inclusiv guvern, tehnologia informației, metalurgie, minerit, dezvoltare de software și telecomunicații.

Atacatorii obțin acces inițial la medii exploatând un contractor compromis anterior și efectuând un atac în lanțul de aprovizionare, în care infectează o componentă folosită pentru a construi software-ul legitim al companiei țintă, indicând un nivel ridicat de sofisticare.

Modul lor de operare implică utilizarea mai multor instrumente, cum ar fi Metasploit, Mimikatz , ProcDump, SMBExec și Spark RAT pentru executarea comenzilor pe gazde infectate, precum și exploit-uri de escaladare a privilegiilor Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 și CVE-2022-2586).

Backdoorul GoRed oferă numeroase acțiuni intruzive actorilor care amenință

GoRed, care a evoluat prin numeroase iterații de la începuturi, este o ușă versatilă care permite operatorilor să execute comenzi, să obțină acreditări și să adune detalii despre procesele active, interfețele de rețea și sistemele de fișiere. Utilizează protocolul Remote Procedure Call (RPC) pentru a comunica cu serverul său Command-and-Control (C2).

În plus, GoRed acceptă diverse comenzi de fundal pentru a monitoriza fișierele de interes și parolele, precum și pentru a activa un shell invers. Datele colectate sunt apoi exportate în infrastructura controlată de atacator.

ExCobalt continuă să dea dovadă de un nivel ridicat de activitate și hotărâre în a viza companiile rusești, adăugând continuu noi instrumente la arsenalul său și perfecționându-și tehnicile. Mai mult, ExCobalt demonstrează flexibilitate și adaptabilitate prin încorporarea utilităților standard modificate în setul său de instrumente, permițând grupului să ocolească cu ușurință controalele de securitate și să se adapteze la modificările metodelor de protecție.

Infecțiile cu malware din ușă din spate ar putea duce la consecințe grave

O infecție cu un malware backdoor poate avea consecințe grave pentru victimele sale, ducând la:

• Acces neautorizat : ușile din spate permit atacatorilor să obțină acces neautorizat la sistemul sau rețeaua infectată. Acest lucru poate duce la furtul de informații personale care pot include date personale, înregistrări financiare, proprietate intelectuală sau informații guvernamentale clasificate.
• Furtul de date și spionajul : Atacatorii pot exfiltra datele din sistemul compromis, ceea ce duce la posibile încălcări ale datelor. Aceste informații culese pot fi vândute pe Dark Web, utilizate pentru furtul de identitate sau exploatate pentru avantaje competitive de către organizații rivale.
• Supraveghere persistentă : ușile din spate permit adesea supravegherea persistentă, permițând atacatorilor să monitorizeze activitatea utilizatorului, să capteze tastele, să înregistreze parole și să observe traficul în rețea. Această supraveghere poate compromite confidențialitatea și confidențialitatea persoanelor și organizațiilor.
• Manipularea sistemului : Atacatorii pot manipula sistemul compromis în scopuri dăunătoare, cum ar fi lansarea altor atacuri (de exemplu, distribuirea de spam sau lansarea atacurilor DDoS), modificarea sau ștergerea datelor sau întreruperea serviciilor critice.
• Daune aduse reputației și încrederii : o încălcare cauzată de malware de tip backdoor poate afecta reputația unei organizații și poate eroda încrederea clienților. Organizațiile se pot confrunta cu repercusiuni legale și de reglementare, mai ales dacă nu protejează datele sensibile în mod adecvat.
• Pierderi financiare : Eforturile de remediere, inclusiv investigațiile criminalistice, reparațiile sistemului și potențialele taxe legale, pot duce la pierderi financiare semnificative pentru organizațiile afectate. Mai mult, timpul de nefuncționare și pierderile de productivitate pot afecta veniturile și eficiența operațională.
• Întreruperea operațională : un malware de tip backdoor poate provoca întreruperi operaționale semnificative, de la întreruperi ale serviciului până la compromiterea integrității rețelei. Acest lucru poate afecta operațiunile zilnice și poate duce la pierderea oportunităților de afaceri.
• Compromise pe termen lung : Dacă nu sunt detectate sau nu sunt remediate corespunzător, ușile din spate pot compromite în mod persistent sistemele, permițând atacatorilor accesul și controlul continuu. Acest compromis pe termen lung poate extinde impactul și aprofunda severitatea consecințelor în timp.

Pe scurt, o infecție cu programe malware backdoor prezintă riscuri grave pentru victime, cuprinzând repercusiuni financiare, operaționale, reputaționale și legale. Măsurile preventive, cum ar fi practicile solide de securitate cibernetică, auditurile regulate și instruirea angajaților sunt cruciale pentru a atenua aceste riscuri și pentru a proteja împotriva unor astfel de amenințări.