GoRed Бэкдор

Российские организации подверглись атаке со стороны киберпреступной группы, известной как ExCobalt, которая использует недавно обнаруженный бэкдор на базе Golang под названием GoRed.

ExCobalt специализируется на кибершпионаже и включает в себя несколько членов, которые действуют как минимум с 2016 года и, вероятно, происходят из печально известной банды Cobalt . Банда Cobalt была известна своими нападениями на финансовые учреждения с целью получения денег, и одним из их фирменных инструментов был CobInt. ExCobalt начала использовать CobInt в 2022 году.

Многочисленные средства нанесения ущерба, используемые при атаках на цели

За последний год злоумышленник атаковал различные отрасли в России, включая государственный сектор, информационные технологии, металлургию, горнодобывающую промышленность, разработку программного обеспечения и телекоммуникации.

Злоумышленники получают первоначальный доступ к средам, используя ранее взломанного подрядчика и проводя атаку на цепочку поставок, в ходе которой они заражают компонент, используемый для создания легального программного обеспечения целевой компании, что указывает на высокий уровень сложности.

Их методы работы включают использование нескольких инструментов, таких как Metasploit, Mimikatz , ProcDump, SMBExec и Spark RAT для выполнения команд на зараженных хостах, а также эксплойтов повышения привилегий Linux (CVE-2019-13272, CVE-2021-3156, CVE). -2021-4034 и CVE-2022-2586).

Бэкдор GoRed обеспечивает многочисленные интрузивные действия для злоумышленников

GoRed, который с момента своего создания претерпел множество изменений, представляет собой универсальный бэкдор, который позволяет операторам выполнять команды, получать учетные данные и собирать сведения об активных процессах, сетевых интерфейсах и файловых системах. Он использует протокол удаленного вызова процедур (RPC) для связи со своим сервером управления и контроля (C2).

Кроме того, GoRed поддерживает различные фоновые команды для мониторинга интересующих файлов и паролей, а также включение обратной оболочки. Собранные данные затем экспортируются в инфраструктуру, контролируемую злоумышленниками.

ExCobalt продолжает демонстрировать высокий уровень активности и решимости в атаке на российские компании, постоянно добавляя в свой арсенал новые инструменты и совершенствуя методы. Более того, ExCobalt демонстрирует гибкость и адаптируемость, включая модифицированные стандартные утилиты в свой набор инструментов, что позволяет группе легко обходить меры безопасности и приспосабливаться к изменениям в методах защиты.

Заражение вредоносным ПО через бэкдор может привести к серьезным последствиям

Заражение вредоносным ПО с бэкдором может иметь серьезные последствия для жертв, приводящие к:

• Несанкционированный доступ : бэкдоры позволяют злоумышленникам получить несанкционированный доступ к зараженной системе или сети. Это может закончиться кражей личной информации, которая может включать личные данные, финансовые отчеты, интеллектуальную собственность или секретную правительственную информацию.
• Кража данных и шпионаж . Злоумышленники могут украсть данные из скомпрометированной системы, что приведет к потенциальной утечке данных. Собранная информация может быть продана в даркнете, использована для кражи личных данных или использована конкурирующими организациями для получения конкурентных преимуществ.
• Постоянное наблюдение . Бэкдоры часто обеспечивают постоянное наблюдение, позволяя злоумышленникам отслеживать активность пользователей, перехватывать нажатия клавиш, регистрировать пароли и наблюдать за сетевым трафиком. Такое наблюдение может поставить под угрозу конфиденциальность и неприкосновенность частной жизни отдельных лиц и организаций.
• Манипулирование системой . Злоумышленники могут манипулировать скомпрометированной системой в вредоносных целях, например, запуская дальнейшие атаки (например, рассылку спама или запуск DDoS-атак), изменение или удаление данных или нарушение работы критически важных служб.
• Ущерб репутации и доверию . Нарушение, вызванное вредоносным программным обеспечением, может нанести ущерб репутации организации и подорвать доверие клиентов. Организации могут столкнуться с правовыми и нормативными последствиями, особенно если они не защищают конфиденциальные данные должным образом.
• Финансовые потери . Усилия по восстановлению, включая судебно-медицинские расследования, ремонт системы и возможные судебные издержки, могут привести к значительным финансовым потерям для пострадавших организаций. Более того, простои и потери производительности могут повлиять на доходы и операционную эффективность.
• Нарушения в работе . Вредоносное ПО, использующее бэкдор, может вызвать значительные сбои в работе, начиная от перебоев в обслуживании и заканчивая нарушением целостности сети. Это может повлиять на повседневную деятельность и потенциально привести к потере возможностей для бизнеса.
• Долгосрочные компрометации . Если бэкдоры не обнаружены или не устранены должным образом, они могут постоянно подвергать риску системы, предоставляя злоумышленникам постоянный доступ и контроль. Этот долгосрочный компромисс может со временем расширить воздействие и усугубить тяжесть последствий.

Подводя итог, можно сказать, что заражение вредоносным ПО, использующим бэкдор, представляет собой серьезный риск для жертв, включая финансовые, операционные, репутационные и юридические последствия. Превентивные меры, такие как надежные методы кибербезопасности, регулярные проверки и обучение сотрудников, имеют решающее значение для снижения этих рисков и защиты от таких угроз.