Multi-License Discount Quote
Baza e të dhënave të kërcënimeve Backdoors GoRed Backdoor

GoRed Backdoor

Nga MezoBackdoors, Advanced Persistent Threat (APT), Malware
Përkthe në:
Shqip

Organizatat ruse janë sulmuar nga një grup i krimit kibernetik i njohur si ExCobalt, i cili punëson një derë të pasme me bazë në Golang të sapo zbuluar të quajtur GoRed.

ExCobalt është i specializuar në spiunazhin kibernetik dhe përbëhet nga disa anëtarë që kanë qenë aktivë që të paktën nga viti 2016, me gjasë me origjinë nga banda famëkeqe e Cobalt . Banda e Cobalt ishte e njohur për synimin e institucioneve financiare për të marrë para dhe një nga mjetet e tyre nënshkrimi ishte CobInt. ExCobalt miratoi përdorimin e CobInt në 2022.

Mjete të shumta dëmtuese të shfrytëzuara në sulmet kundër objektivave

Gjatë vitit të kaluar, aktori i kërcënimit ka synuar sektorë të ndryshëm në Rusi, duke përfshirë qeverinë, teknologjinë e informacionit, metalurgjinë, minierat, zhvillimin e softuerit dhe telekomunikacionin.

Sulmuesit fitojnë akses fillestar në mjedise duke shfrytëzuar një kontraktues të komprometuar më parë dhe duke kryer një sulm të zinxhirit të furnizimit, ku ata infektojnë një komponent të përdorur për të ndërtuar softuerin legjitim të kompanisë së synuar, duke treguar një nivel të lartë të sofistikimit.

Mënyra e funksionimit të tyre përfshin përdorimin e disa mjeteve, si Metasploit, Mimikatz , ProcDump, SMBExec dhe Spark RAT për ekzekutimin e komandave në hostet e infektuar, si dhe shfrytëzime të përshkallëzimit të privilegjeve Linux (CVE-2019-13272, CVE3120 -2021-4034, dhe CVE-2022-2586).

Backdoor GoRed ofron veprime të shumta ndërhyrëse për aktorët e kërcënimit

GoRed, i cili ka evoluar përmes përsëritjeve të shumta që nga fillimi i tij, është një backdoor i gjithanshëm që u mundëson operatorëve të ekzekutojnë komanda, të marrin kredencialet dhe të mbledhin detaje rreth proceseve aktive, ndërfaqeve të rrjetit dhe sistemeve të skedarëve. Ai përdor protokollin e thirrjes së procedurës në distancë (RPC) për të komunikuar me serverin e tij Command-and-Control (C2).

Për më tepër, GoRed mbështet komanda të ndryshme të sfondit për të monitoruar skedarët me interes dhe fjalëkalimet, si dhe mundëson një guaskë të kundërt. Të dhënat e mbledhura më pas eksportohen në infrastrukturën e kontrolluar nga sulmuesit.

ExCobalt vazhdon të tregojë nivel të lartë aktiviteti dhe vendosmërie në shënjestrimin e kompanive ruse, duke shtuar vazhdimisht mjete të reja në arsenalin e saj dhe duke rafinuar teknikat e saj. Për më tepër, ExCobalt demonstron fleksibilitet dhe përshtatshmëri duke përfshirë shërbime standarde të modifikuara në grupin e veglave të tij, duke i lejuar grupit të anashkalojë lehtësisht kontrollet e sigurisë dhe të përshtatet me ndryshimet në metodat e mbrojtjes.

Infeksionet e malware të pasme mund të çojnë në pasoja të rënda

Një infeksion me një malware të pasme mund të ketë pasoja të rënda për viktimat e tij, duke çuar në:

  • Qasje e paautorizuar : Backdoors lejojnë sulmuesit të marrin akses të paautorizuar në sistemin ose rrjetin e infektuar. Kjo mund të përfundojë me vjedhjen e informacionit personal që mund të përfshijë të dhëna personale, të dhëna financiare, pronë intelektuale ose informacione të klasifikuara qeveritare.
  • Vjedhja dhe spiunazhi i të dhënave : Sulmuesit mund të nxjerrin të dhëna nga sistemi i komprometuar, duke çuar në shkelje të mundshme të të dhënave. Ky informacion i mbledhur mund të shitet në Dark Web, të përdoret për vjedhje identiteti ose të shfrytëzohet për avantazh konkurrues nga organizatat rivale.
  • Mbikëqyrja e vazhdueshme : Dyert e pasme shpesh mundësojnë mbikëqyrje të vazhdueshme duke i lejuar sulmuesit të monitorojnë aktivitetin e përdoruesit, të kapin goditjet e tasteve, të regjistrojnë fjalëkalimet dhe të vëzhgojnë trafikun e rrjetit. Kjo mbikëqyrje mund të rrezikojë konfidencialitetin dhe privatësinë e individëve dhe organizatave.
  • Manipulimi i sistemit : Sulmuesit mund të manipulojnë sistemin e komprometuar për qëllime të dëmshme, të tilla si nisja e sulmeve të mëtejshme (p.sh. shpërndarja e postës së padëshiruar ose nisja e sulmeve DDoS), ndryshimi ose fshirja e të dhënave ose ndërprerja e shërbimeve kritike.
  • Dëmtimi i reputacionit dhe besimit : Një shkelje e shkaktuar nga malware i pasme mund të dëmtojë reputacionin e një organizate dhe të gërryejë besimin e klientit. Organizatat mund të përballen me pasoja ligjore dhe rregullatore, veçanërisht nëse ato nuk mbrojnë në mënyrë adekuate të dhënat e ndjeshme.
  • Humbjet financiare : Përpjekjet për riparim, duke përfshirë hetimet mjekoligjore, riparimet e sistemit dhe tarifat e mundshme ligjore, mund të çojnë në humbje të konsiderueshme financiare për organizatat e prekura. Për më tepër, humbjet e kohës joproduktive dhe produktivitetit mund të ndikojnë në të ardhurat dhe efikasitetin operacional.
  • Ndërprerje operacionale : Një malware me dyer të pasme mund të shkaktojë ndërprerje të konsiderueshme operacionale, duke filluar nga ndërprerjet e shërbimit deri te integriteti i rrezikuar i rrjetit. Kjo mund të ndikojë në operacionet e përditshme dhe potencialisht të çojë në humbjen e mundësive të biznesit.
  • Kompromiset afatgjata : Nëse nuk zbulohen ose nuk korrigjohen siç duhet, dyert e pasme mund të komprometojnë vazhdimisht sistemet, duke i lejuar sulmuesit akses dhe kontroll të vazhdueshëm. Ky kompromis afatgjatë mund të zgjasë ndikimin dhe të thellojë ashpërsinë e pasojave me kalimin e kohës.

Si përmbledhje, një infeksion me malware të pasme paraqet rreziqe serioze për viktimat, duke përfshirë pasoja financiare, operacionale, reputacionale dhe ligjore. Masat parandaluese si praktikat e fuqishme të sigurisë kibernetike, auditimet e rregullta dhe trajnimi i punonjësve janë vendimtare për të zbutur këto rreziqe dhe për të mbrojtur kundër kërcënimeve të tilla.

Në trend

Më e shikuara

Po ngarkohet...