GoRed Backdoor

Ang mga organisasyong Ruso ay inatake ng isang cybercrime group na kilala bilang ExCobalt, na gumagamit ng bagong natuklasang backdoor na nakabase sa Golang na tinatawag na GoRed.

Eksperto ang ExCobalt sa cyber espionage at binubuo ng ilang miyembro na naging aktibo mula pa noong 2016, malamang na nagmula sa kasumpa-sumpa na Cobalt Gang. Ang Cobalt Gang ay kilalang-kilala sa pag-target sa mga institusyong pampinansyal na kumuha ng pera, at isa sa kanilang mga signature tool ay CobInt. Pinagtibay ng ExCobalt ang paggamit ng CobInt noong 2022.

Maraming Nakakapinsalang Tool na Pinagsasamantalahan sa Mga Pag-atake laban sa Mga Target

Sa nakalipas na taon, target ng threat actor ang iba't ibang sektor sa Russia, kabilang ang gobyerno, information technology, metalurhiya, pagmimina, software development at telekomunikasyon.

Ang mga umaatake ay nakakakuha ng paunang pag-access sa mga kapaligiran sa pamamagitan ng pagsasamantala sa isang dating nakompromiso na kontratista at pagsasagawa ng isang pag-atake sa supply chain, kung saan nahawahan nila ang isang bahagi na ginagamit upang bumuo ng lehitimong software ng target na kumpanya, na nagpapahiwatig ng isang mataas na antas ng pagiging sopistikado.

Ang kanilang modus operandi ay nagsasangkot ng paggamit ng ilang mga tool, tulad ng Metasploit, Mimikatz , ProcDump, SMBExec, at ang Spark RAT para sa pagpapatupad ng mga command sa mga nahawaang host, pati na rin ang Linux privilege escalation exploits (CVE-2019-13272, CVE-2021-3156, CVE-2021-3156). -2021-4034, at CVE-2022-2586).

Ang GoRed Backdoor ay Nagbibigay ng Maraming Mapanghimasok na Aksyon sa Mga Aktor ng Banta

Ang GoRed, na umusbong sa pamamagitan ng maraming mga pag-ulit mula nang magsimula ito, ay isang maraming nalalaman na backdoor na nagbibigay-daan sa mga operator na magsagawa ng mga utos, kumuha ng mga kredensyal, at mangalap ng mga detalye tungkol sa mga aktibong proseso, mga interface ng network at mga file system. Ginagamit nito ang Remote Procedure Call (RPC) na protocol para makipag-ugnayan sa Command-and-Control (C2) server nito.

Bilang karagdagan, sinusuportahan ng GoRed ang iba't ibang mga utos sa background upang subaybayan ang mga file ng interes at mga password, pati na rin ang pagpapagana ng isang reverse shell. Ang nakalap na data ay ine-export sa imprastraktura na kinokontrol ng attacker.

Ang ExCobalt ay patuloy na nagpapakita ng mataas na antas ng aktibidad at determinasyon sa pag-target sa mga kumpanyang Ruso, patuloy na nagdaragdag ng mga bagong tool sa arsenal nito at pinipino ang mga diskarte nito. Bukod dito, ipinapakita ng ExCobalt ang flexibility at adaptability sa pamamagitan ng pagsasama ng mga binagong standard utilities sa toolset nito, na nagpapahintulot sa grupo na madaling lampasan ang mga kontrol sa seguridad at mag-adjust sa mga pagbabago sa mga paraan ng proteksyon.

Ang Mga Impeksyon sa Backdoor Malware ay Maaaring Magdulot ng Matinding Bunga

Ang impeksyon sa backdoor malware ay maaaring magkaroon ng malubhang kahihinatnan para sa mga biktima nito, na humahantong sa:

• Hindi awtorisadong Pag-access : Ang mga backdoor ay nagbibigay-daan sa mga umaatake na makakuha ng hindi awtorisadong pag-access sa nahawaang system o network. Ito ay maaaring mauwi sa pagnanakaw ng personal na impormasyon na maaaring magsama ng personal na data, mga rekord sa pananalapi, intelektwal na ari-arian o classified na impormasyon ng pamahalaan.
• Pagnanakaw ng Data at Espionage : Maaaring i-exfiltrate ng mga attacker ang data mula sa nakompromisong system, na humahantong sa mga potensyal na paglabag sa data. Ang na-ani na impormasyong ito ay maaaring ibenta sa Dark Web, ginagamit para sa pagnanakaw ng pagkakakilanlan o pinagsamantalahan para sa mapagkumpitensyang kalamangan ng mga kalabang organisasyon.
• Persistent Surveillance : Ang mga backdoor ay kadalasang nagbibigay-daan sa patuloy na pagsubaybay sa pamamagitan ng pagpayag sa mga umaatake na subaybayan ang aktibidad ng user, kumuha ng mga keystroke, mag-log ng mga password at obserbahan ang trapiko sa network. Maaaring ikompromiso ng pagsubaybay na ito ang pagiging kumpidensyal at privacy ng mga indibidwal at organisasyon.
• Pagmamanipula ng System : Maaaring manipulahin ng mga attacker ang nakompromisong system para sa mga mapaminsalang layunin, tulad ng paglulunsad ng mga karagdagang pag-atake (hal, pamamahagi ng spam o paglulunsad ng mga pag-atake ng DDoS), pagbabago o pagtanggal ng data o pag-abala sa mga kritikal na serbisyo.
• Pinsala sa Reputasyon at Tiwala : Ang isang paglabag na dulot ng backdoor malware ay maaaring makasira sa reputasyon ng isang organisasyon at masira ang tiwala ng customer. Maaaring makaharap ang mga organisasyon ng mga legal at regulasyong epekto, lalo na kung hindi nila pinoprotektahan nang maayos ang sensitibong data.
• Mga Pagkalugi sa Pinansyal : Ang mga pagsisikap sa remediation, kabilang ang mga forensic na pagsisiyasat, pag-aayos ng system, at mga potensyal na legal na bayarin, ay maaaring humantong sa malaking pagkalugi sa pananalapi para sa mga apektadong organisasyon. Bukod dito, ang downtime at pagkalugi sa produktibidad ay maaaring makaapekto sa kita at kahusayan sa pagpapatakbo.
• Operational Disruptio n: Ang backdoor malware ay maaaring magdulot ng makabuluhang pagkaantala sa pagpapatakbo, mula sa mga pagkawala ng serbisyo hanggang sa nakompromisong integridad ng network. Maaari itong makaapekto sa pang-araw-araw na operasyon at posibleng humantong sa pagkawala ng mga pagkakataon sa negosyo.
• Mga Pangmatagalang Kompromiso : Kung hindi natukoy o hindi maayos na naayos, ang mga backdoor ay maaaring patuloy na makompromiso ang mga system, na nagbibigay-daan sa mga umaatake na patuloy na ma-access at kontrolin. Ang pangmatagalang kompromiso na ito ay maaaring palawigin ang epekto at palalimin ang kalubhaan ng mga kahihinatnan sa paglipas ng panahon.

Sa buod, ang impeksyon sa backdoor malware ay nagdudulot ng malubhang panganib sa mga biktima, na sumasaklaw sa pinansyal, pagpapatakbo, reputasyon, at legal na epekto. Ang mga hakbang sa pag-iwas tulad ng matatag na mga kasanayan sa cybersecurity, regular na pag-audit, at pagsasanay ng empleyado ay mahalaga upang mapagaan ang mga panganib na ito at maprotektahan laban sa mga naturang banta.