GoRed Backdoor

Ruské organizácie boli napadnuté kyberzločineckou skupinou známou ako ExCobalt, ktorá využíva novoobjavené zadné vrátka GoRed so sídlom v Golangu.

ExCobalt sa špecializuje na kybernetickú špionáž a pozostáva z niekoľkých členov, ktorí sú aktívni minimálne od roku 2016 a pravdepodobne pochádzajú z neslávne známeho Cobalt Gangu. Cobalt Gang bol známy tým, že sa zameriaval na finančné inštitúcie, aby si vzali peniaze, a jedným z ich nástrojov bol CobInt. ExCobalt prijal používanie CobInt v roku 2022.

Množstvo škodlivých nástrojov využívaných pri útokoch na ciele

V priebehu minulého roka sa aktér hrozby zameral na rôzne sektory v Rusku vrátane vlády, informačných technológií, metalurgie, baníctva, vývoja softvéru a telekomunikácií.

Útočníci získajú počiatočný prístup do prostredia zneužitím predtým kompromitovaného dodávateľa a vykonaním útoku na dodávateľský reťazec, kde infikujú komponent používaný na vytvorenie legitímneho softvéru cieľovej spoločnosti, čo naznačuje vysokú úroveň sofistikovanosti.

Ich modus operandi zahŕňa použitie niekoľkých nástrojov, ako sú Metasploit, Mimikatz , ProcDump, SMBExec a Spark RAT na vykonávanie príkazov na infikovaných hostiteľoch, ako aj využitie eskalácie privilégií Linuxu (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 a CVE-2022-2586).

GoRed Backdoor poskytuje početné rušivé akcie pre aktérov hrozby

GoRed, ktorý sa od svojho vzniku vyvinul v mnohých iteráciách, je všestranným zadným vrátkom, ktorý umožňuje operátorom vykonávať príkazy, získavať poverenia a zhromažďovať podrobnosti o aktívnych procesoch, sieťových rozhraniach a súborových systémoch. Na komunikáciu so svojím serverom Command-and-Control (C2) využíva protokol Remote Procedure Call (RPC).

GoRed navyše podporuje rôzne príkazy na pozadí na monitorovanie záujmových súborov a hesiel, ako aj umožnenie spätného shellu. Zhromaždené údaje sa potom exportujú do infraštruktúry kontrolovanej útočníkom.

ExCobalt naďalej vykazuje vysokú úroveň aktivity a odhodlania pri zacielení na ruské spoločnosti, neustále pridáva nové nástroje do svojho arzenálu a zdokonaľuje svoje techniky. Okrem toho ExCobalt demonštruje flexibilitu a prispôsobivosť začlenením modifikovaných štandardných nástrojov do svojej sady nástrojov, čo skupine umožňuje jednoducho obísť bezpečnostné kontroly a prispôsobiť sa zmenám v metódach ochrany.

Infekcie škodlivého softvéru Backdoor môžu viesť k vážnym následkom

Infekcia malvérom typu backdoor môže mať pre obete vážne následky, ktoré vedú k:

• Neoprávnený prístup : Zadné vrátka umožňujú útočníkom získať neoprávnený prístup k infikovanému systému alebo sieti. To môže skončiť krádežou osobných informácií, ktoré môžu zahŕňať osobné údaje, finančné záznamy, duševné vlastníctvo alebo utajované vládne informácie.
• Krádež údajov a špionáž : Útočníci môžu preniknúť údaje z napadnutého systému, čo vedie k potenciálnemu narušeniu údajov. Tieto zozbierané informácie možno predať na temnom webe, použiť na krádež identity alebo využiť konkurenčné organizácie na získanie konkurenčnej výhody.
• Trvalý dohľad : Zadné vrátka často umožňujú trvalé sledovanie tým, že umožňujú útočníkom monitorovať aktivitu používateľov, zachytávať stlačenia klávesov, zaznamenávať heslá a sledovať sieťovú prevádzku. Tento dohľad môže ohroziť dôvernosť a súkromie jednotlivcov a organizácií.
• Manipulácia so systémom : Útočníci môžu manipulovať s napadnutým systémom na škodlivé účely, ako je spustenie ďalších útokov (napr. distribúcia spamu alebo spustenie DDoS útokov), zmena alebo vymazanie údajov alebo narušenie dôležitých služieb.
• Poškodenie reputácie a dôvery : Narušenie spôsobené malvérom typu backdoor môže poškodiť reputáciu organizácie a narušiť dôveru zákazníkov. Organizácie môžu čeliť právnym a regulačným následkom, najmä ak dostatočne nechránia citlivé údaje.
• Finančné straty : Náprava, vrátane forenzného vyšetrovania, systémových opráv a prípadných právnych poplatkov, môže viesť k významným finančným stratám pre postihnuté organizácie. Okrem toho môžu výpadky a straty produktivity ovplyvniť výnosy a prevádzkovú efektivitu.
• Prevádzkové prerušenie : Malvér typu backdoor môže spôsobiť značné narušenie prevádzky, od výpadkov služieb až po narušenú integritu siete. To môže ovplyvniť každodennú prevádzku a potenciálne viesť k strate obchodných príležitostí.
• Dlhodobé kompromisy : Ak sa nedetekujú alebo nie sú správne napravené, zadné vrátka môžu neustále ohrozovať systémy, čo útočníkom umožňuje nepretržitý prístup a kontrolu. Tento dlhodobý kompromis môže predĺžiť dopad a časom prehĺbiť závažnosť následkov.

Stručne povedané, infekcia malvérom typu backdoor predstavuje vážne riziko pre obete, ktoré zahŕňa finančné, prevádzkové, reputačné a právne následky. Preventívne opatrenia, ako sú robustné postupy kybernetickej bezpečnosti, pravidelné audity a školenia zamestnancov, sú kľúčové na zmiernenie týchto rizík a ochranu pred takýmito hrozbami.