Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Backdoors Cửa sau GoRed

Cửa sau GoRed

Đến năm Mezo năm Backdoors, Advanced Persistent Threat (APT), Malware
Dịch sang:
Tiếng Việt Nam

Các tổ chức của Nga đã bị tấn công bởi một nhóm tội phạm mạng có tên ExCobalt, nhóm này sử dụng một cửa hậu dựa trên Golang mới được phát hiện có tên là GoRed.

ExCobalt chuyên về gián điệp mạng và bao gồm một số thành viên đã hoạt động ít nhất từ năm 2016, có khả năng bắt nguồn từ Cobalt Gang khét tiếng. Cobalt Gang nổi tiếng với việc nhắm mục tiêu vào các tổ chức tài chính để lấy tiền và một trong những công cụ đặc trưng của chúng là CobInt. ExCobalt đã áp dụng việc sử dụng CobInt vào năm 2022.

Vô số công cụ gây sát thương được khai thác trong các cuộc tấn công chống lại mục tiêu

Trong năm qua, kẻ đe dọa đã nhắm mục tiêu vào nhiều lĩnh vực khác nhau ở Nga, bao gồm chính phủ, công nghệ thông tin, luyện kim, khai thác mỏ, phát triển phần mềm và viễn thông.

Những kẻ tấn công có quyền truy cập ban đầu vào môi trường bằng cách khai thác một nhà thầu đã bị xâm nhập trước đó và tiến hành một cuộc tấn công chuỗi cung ứng, nơi chúng lây nhiễm một thành phần được sử dụng để xây dựng phần mềm hợp pháp của công ty mục tiêu, cho thấy mức độ tinh vi cao.

Phương thức hoạt động của họ liên quan đến việc sử dụng một số công cụ, chẳng hạn như Metasploit, Mimikatz , ProcDump, SMBExec và Spark RAT để thực thi các lệnh trên máy chủ bị nhiễm, cũng như các hoạt động khai thác leo thang đặc quyền Linux (CVE-2019-13272, CVE-2021-3156, CVE -2021-4034 và CVE-2022-2586).

Backdoor GoRed cung cấp nhiều hành động xâm nhập cho những kẻ đe dọa

GoRed, đã phát triển qua nhiều lần kể từ khi thành lập, là một cửa hậu linh hoạt cho phép người vận hành thực thi lệnh, lấy thông tin xác thực và thu thập thông tin chi tiết về các quy trình hoạt động, giao diện mạng và hệ thống tệp. Nó sử dụng giao thức Gọi thủ tục từ xa (RPC) để liên lạc với máy chủ Chỉ huy và Điều khiển (C2).

Ngoài ra, GoRed hỗ trợ các lệnh nền khác nhau để giám sát các tệp quan tâm và mật khẩu, cũng như kích hoạt shell đảo ngược. Dữ liệu thu thập được sau đó được xuất sang cơ sở hạ tầng do kẻ tấn công kiểm soát.

ExCobalt tiếp tục thể hiện mức độ hoạt động và quyết tâm cao trong việc nhắm mục tiêu vào các công ty Nga, liên tục bổ sung các công cụ mới vào kho vũ khí và cải tiến kỹ thuật của mình. Hơn nữa, ExCobalt thể hiện tính linh hoạt và khả năng thích ứng bằng cách kết hợp các tiện ích tiêu chuẩn đã sửa đổi vào bộ công cụ của mình, cho phép nhóm dễ dàng vượt qua các biện pháp kiểm soát bảo mật và điều chỉnh theo những thay đổi trong phương pháp bảo vệ.

Nhiễm phần mềm độc hại cửa sau có thể dẫn đến hậu quả nghiêm trọng

Việc lây nhiễm phần mềm độc hại cửa sau có thể gây hậu quả nghiêm trọng cho nạn nhân, dẫn đến:

  • Truy cập trái phép : Backdoor cho phép kẻ tấn công có được quyền truy cập trái phép vào hệ thống hoặc mạng bị nhiễm. Điều này có thể dẫn đến việc đánh cắp thông tin cá nhân có thể bao gồm dữ liệu cá nhân, hồ sơ tài chính, sở hữu trí tuệ hoặc thông tin mật của chính phủ.
  • Trộm cắp dữ liệu và gián điệp : Kẻ tấn công có thể lấy cắp dữ liệu từ hệ thống bị xâm nhập, dẫn đến nguy cơ vi phạm dữ liệu. Thông tin thu thập được này có thể được bán trên Dark Web, được sử dụng để đánh cắp danh tính hoặc bị các tổ chức đối thủ khai thác để tạo lợi thế cạnh tranh.
  • Giám sát liên tục : Backdoor thường cho phép giám sát liên tục bằng cách cho phép kẻ tấn công giám sát hoạt động của người dùng, nắm bắt các thao tác gõ phím, đăng nhập mật khẩu và quan sát lưu lượng mạng. Việc giám sát này có thể làm tổn hại đến tính bảo mật và quyền riêng tư của các cá nhân và tổ chức.
  • Thao tác hệ thống : Kẻ tấn công có thể thao túng hệ thống bị xâm nhập nhằm mục đích có hại, chẳng hạn như phát động các cuộc tấn công tiếp theo (ví dụ: phát tán thư rác hoặc phát động các cuộc tấn công DDoS), thay đổi hoặc xóa dữ liệu hoặc làm gián đoạn các dịch vụ quan trọng.
  • Thiệt hại về danh tiếng và niềm tin : Hành vi vi phạm do phần mềm độc hại cửa sau gây ra có thể gây tổn hại đến danh tiếng của tổ chức và làm xói mòn lòng tin của khách hàng. Các tổ chức có thể phải đối mặt với hậu quả pháp lý và quy định, đặc biệt nếu họ không bảo vệ dữ liệu nhạy cảm một cách đầy đủ.
  • Tổn thất tài chính : Các nỗ lực khắc phục, bao gồm điều tra pháp y, sửa chữa hệ thống và các khoản phí pháp lý tiềm ẩn, có thể dẫn đến tổn thất tài chính đáng kể cho các tổ chức bị ảnh hưởng. Hơn nữa, thời gian ngừng hoạt động và tổn thất năng suất có thể ảnh hưởng đến doanh thu và hiệu quả hoạt động.
  • Gián đoạn hoạt động : Phần mềm độc hại cửa sau có thể gây ra sự gián đoạn hoạt động đáng kể, từ ngừng dịch vụ đến xâm phạm tính toàn vẹn mạng. Điều này có thể ảnh hưởng đến hoạt động hàng ngày và có khả năng dẫn đến mất cơ hội kinh doanh.
  • Thỏa hiệp lâu dài : Nếu không bị phát hiện hoặc không được khắc phục đúng cách, các cửa hậu có thể liên tục xâm phạm hệ thống, cho phép kẻ tấn công liên tục truy cập và kiểm soát. Sự thỏa hiệp lâu dài này có thể mở rộng tác động và làm sâu sắc thêm mức độ nghiêm trọng của hậu quả theo thời gian.

Tóm lại, việc lây nhiễm phần mềm độc hại cửa sau gây ra rủi ro nghiêm trọng cho nạn nhân, bao gồm các hậu quả về tài chính, hoạt động, danh tiếng và pháp lý. Các biện pháp phòng ngừa như thực hành an ninh mạng mạnh mẽ, kiểm tra thường xuyên và đào tạo nhân viên là rất quan trọng để giảm thiểu những rủi ro này và bảo vệ khỏi các mối đe dọa đó.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
38,796
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...