ประตูหลัง GoRed

องค์กรในรัสเซียถูกโจมตีโดยกลุ่มอาชญากรรมไซเบอร์ที่รู้จักกันในชื่อ ExCobalt ซึ่งใช้แบ็คดอร์ที่ใช้ Golang ที่เพิ่งค้นพบชื่อ GoRed

ExCobalt เชี่ยวชาญด้านการจารกรรมทางไซเบอร์และประกอบด้วยสมาชิกหลายคนที่ทำงานมาตั้งแต่ปี 2016 เป็นอย่างน้อย ซึ่งน่าจะมาจากกลุ่ม Cobalt Gang อันโด่งดัง แก๊งโคบอลต์มีชื่อเสียงในการมุ่งเป้าไปที่สถาบันการเงินเพื่อรับเงิน และหนึ่งในเครื่องมือที่เป็นเอกลักษณ์ของพวกเขาก็คือ CobInt ExCobalt นำการใช้ CobInt มาใช้ในปี 2022

เครื่องมือที่สร้างความเสียหายมากมายถูกนำไปใช้ในการโจมตีเป้าหมาย

ในปีที่ผ่านมา ผู้ก่อภัยคุกคามได้กำหนดเป้าหมายไปยังภาคส่วนต่างๆ ในรัสเซีย รวมถึงภาครัฐ เทคโนโลยีสารสนเทศ โลหะวิทยา เหมืองแร่ การพัฒนาซอฟต์แวร์ และโทรคมนาคม

ผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมเบื้องต้นได้โดยการใช้ประโยชน์จากผู้รับเหมาที่ถูกบุกรุกก่อนหน้านี้ และทำการโจมตีห่วงโซ่อุปทาน ซึ่งพวกมันจะแพร่เชื้อไปยังส่วนประกอบที่ใช้ในการสร้างซอฟต์แวร์ที่ถูกต้องตามกฎหมายของบริษัทเป้าหมาย ซึ่งบ่งชี้ว่ามีความซับซ้อนในระดับสูง

วิธีการดำเนินการเกี่ยวข้องกับการใช้เครื่องมือหลายอย่าง เช่น Metasploit, Mimikatz , ProcDump, SMBExec และ Spark RAT เพื่อดำเนินการคำสั่งบนโฮสต์ที่ติดไวรัส เช่นเดียวกับการหาประโยชน์จากการเพิ่มระดับสิทธิ์ของ Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 และ CVE-2022-2586)

แบ็คดอร์ GoRed ให้การกระทำที่ล่วงล้ำมากมายแก่ผู้คุกคาม

GoRed ซึ่งพัฒนาผ่านการทำซ้ำหลายครั้งนับตั้งแต่เริ่มก่อตั้ง เป็นแบ็คดอร์อเนกประสงค์ที่ช่วยให้ผู้ปฏิบัติงานสามารถรันคำสั่ง รับข้อมูลประจำตัว และรวบรวมรายละเอียดเกี่ยวกับกระบวนการที่ใช้งาน อินเทอร์เฟซเครือข่าย และระบบไฟล์ ใช้โปรโตคอล Remote Procedure Call (RPC) เพื่อสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2)

นอกจากนี้ GoRed ยังรองรับคำสั่งพื้นหลังต่างๆ เพื่อตรวจสอบไฟล์และรหัสผ่านที่น่าสนใจ รวมถึงการเปิดใช้งาน Reverse Shell จากนั้นข้อมูลที่รวบรวมจะถูกส่งออกไปยังโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี

ExCobalt ยังคงแสดงให้เห็นถึงกิจกรรมและความมุ่งมั่นในระดับสูงในการกำหนดเป้าหมายไปที่บริษัทรัสเซีย โดยเพิ่มเครื่องมือใหม่ๆ ให้กับคลังแสงอย่างต่อเนื่องและปรับแต่งเทคนิคของบริษัท นอกจากนี้ ExCobalt ยังแสดงให้เห็นถึงความยืดหยุ่นและความสามารถในการปรับตัวโดยการรวมเอายูทิลิตี้มาตรฐานที่ได้รับการปรับเปลี่ยนเข้าไปในชุดเครื่องมือ ช่วยให้กลุ่มสามารถข้ามการควบคุมความปลอดภัยและปรับเปลี่ยนวิธีการป้องกันที่เปลี่ยนแปลงได้อย่างง่ายดาย

การติดเชื้อมัลแวร์แบ็คดอร์อาจนำไปสู่ผลที่ตามมาที่รุนแรง

การติดเชื้อมัลแวร์แบ็คดอร์อาจส่งผลร้ายแรงต่อเหยื่อ ซึ่งนำไปสู่:

• การเข้าถึงที่ไม่ได้รับอนุญาต : แบ็คดอร์อนุญาตให้ผู้โจมตีเข้าถึงระบบหรือเครือข่ายที่ติดไวรัสโดยไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การขโมยข้อมูลส่วนบุคคลที่อาจรวมถึงข้อมูลส่วนบุคคล บันทึกทางการเงิน ทรัพย์สินทางปัญญา หรือข้อมูลลับของรัฐบาล
• การโจรกรรมข้อมูลและการจารกรรม : ผู้โจมตีสามารถขโมยข้อมูลจากระบบที่ถูกบุกรุก ซึ่งนำไปสู่การละเมิดข้อมูลที่อาจเกิดขึ้น ข้อมูลที่เก็บเกี่ยวนี้สามารถขายได้บน Dark Web ซึ่งใช้เพื่อขโมยข้อมูลประจำตัวหรือแสวงหาประโยชน์จากองค์กรคู่แข่งเพื่อความได้เปรียบทางการแข่งขัน
• การเฝ้าระวังแบบถาวร : แบ็คดอร์มักจะเปิดใช้งานการเฝ้าระวังแบบถาวรโดยอนุญาตให้ผู้โจมตีสามารถตรวจสอบกิจกรรมของผู้ใช้ จับการกดแป้นพิมพ์ บันทึกรหัสผ่าน และสังเกตการรับส่งข้อมูลเครือข่าย การเฝ้าระวังนี้สามารถส่งผลต่อการรักษาความลับและความเป็นส่วนตัวของบุคคลและองค์กรได้
• การจัดการระบบ : ผู้โจมตีอาจจัดการระบบที่ถูกบุกรุกเพื่อวัตถุประสงค์ที่เป็นอันตราย เช่น การโจมตีเพิ่มเติม (เช่น การกระจายสแปมหรือการโจมตี DDoS) การเปลี่ยนแปลงหรือการลบข้อมูล หรือขัดขวางบริการที่สำคัญ
• ความเสียหายต่อชื่อเสียงและความน่าเชื่อถือ : การละเมิดที่เกิดจากมัลแวร์ลับๆ สามารถทำลายชื่อเสียงขององค์กรและกัดกร่อนความไว้วางใจของลูกค้า องค์กรอาจเผชิญกับผลทางกฎหมายและกฎระเบียบ โดยเฉพาะอย่างยิ่งหากไม่ได้ปกป้องข้อมูลที่ละเอียดอ่อนอย่างเพียงพอ
• การสูญเสียทางการเงิน : ความพยายามในการแก้ไข รวมถึงการสืบสวนทางนิติวิทยาศาสตร์ การซ่อมแซมระบบ และค่าธรรมเนียมทางกฎหมายที่อาจเกิดขึ้น สามารถนำไปสู่การสูญเสียทางการเงินที่สำคัญสำหรับองค์กรที่ได้รับผลกระทบ นอกจากนี้ การหยุดทำงานและการสูญเสียความสามารถในการผลิตอาจส่งผลกระทบต่อรายได้และประสิทธิภาพการดำเนินงาน
• การหยุดชะงักในการดำเนินงาน : มัลแวร์แบ็คดอร์อาจทำให้เกิดการหยุดชะงักในการดำเนินงานอย่างมีนัยสำคัญ ตั้งแต่บริการขัดข้องไปจนถึงความสมบูรณ์ของเครือข่ายที่ถูกบุกรุก สิ่งนี้อาจส่งผลกระทบต่อการดำเนินงานประจำวันและอาจนำไปสู่การสูญเสียโอกาสทางธุรกิจ
• การประนีประนอมระยะยาว : หากตรวจไม่พบหรือไม่ได้แก้ไขอย่างเหมาะสม ประตูหลังสามารถโจมตีระบบอย่างต่อเนื่อง ทำให้ผู้โจมตีสามารถเข้าถึงและควบคุมได้อย่างต่อเนื่อง การประนีประนอมในระยะยาวนี้สามารถขยายผลกระทบและเพิ่มความรุนแรงของผลที่ตามมาเมื่อเวลาผ่านไป

โดยสรุป การติดมัลแวร์แบ็คดอร์ก่อให้เกิดความเสี่ยงร้ายแรงต่อเหยื่อ ซึ่งรวมถึงผลกระทบทางการเงิน การปฏิบัติงาน ชื่อเสียง และทางกฎหมาย มาตรการป้องกัน เช่น แนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง การตรวจสอบอย่างสม่ำเสมอ และการฝึกอบรมพนักงานมีความสำคัญอย่างยิ่งในการลดความเสี่ยงเหล่านี้และป้องกันภัยคุกคามดังกล่าว