GoRed 后门

俄罗斯组织遭到名为 ExCobalt 的网络犯罪集团的攻击，该集团使用一种新发现的基于 Golang 的后门 GoRed。

ExCobalt 专门从事网络间谍活动，其成员至少自 2016 年以来一直活跃，可能来自臭名昭著的Cobalt Gang。Cobalt Gang 因针对金融机构窃取资金而臭名昭著，他们的标志性工具之一就是 CobInt。ExCobalt 于 2022 年开始使用CobInt 。

针对目标的攻击中利用了大量破坏性工具

在过去的一年中，该威胁行为者瞄准了俄罗斯的各个领域，包括政府、信息技术、冶金、采矿、软件开发和电信。

攻击者通过利用先前受到攻击的承包商并进行供应链攻击来获得对环境的初步访问权限，在攻击中他们会感染用于构建目标公司合法软件的组件，这表明攻击者的攻击手段非常复杂。

他们的作案手法涉及使用多种工具，例如 Metasploit、 Mimikatz 、ProcDump、SMBExec 和Spark RAT ，用于在受感染的主机上执行命令，以及 Linux 权限提升漏洞（CVE-2019-13272、CVE-2021-3156、CVE-2021-4034 和 CVE-2022-2586）。

GoRed 后门为威胁行为者提供了多种侵入性操作

GoRed 自诞生以来经历了多次迭代，是一个多功能后门，可让操作员执行命令、获取凭据并收集有关活动进程、网络接口和文件系统的详细信息。它利用远程过程调用 (RPC) 协议与其命令和控制 (C2) 服务器进行通信。

此外，GoRed 还支持各种后台命令来监控感兴趣的文件和密码，以及启用反向 shell。然后，收集的数据将导出到攻击者控制的基础设施。

ExCobalt 继续在针对俄罗斯公司方面表现出高度的活跃度和决心，不断为其武器库添加新工具并改进其技术。此外，ExCobalt 通过将经过修改的标准实用程序纳入其工具集来展示灵活性和适应性，使该组织能够轻松绕过安全控制并适应保护方法的变化。

后门恶意软件感染可能导致严重后果

感染后门恶意软件可能会给受害者带来严重后果，导致：

• 未经授权的访问：后门允许攻击者未经授权访问受感染的系统或网络。这可能导致个人信息被盗，包括个人数据、财务记录、知识产权或机密政府信息。
• 数据窃取和间谍活动：攻击者可以从受感染的系统中窃取数据，从而导致潜在的数据泄露。这些收集到的信息可以在暗网上出售，用于身份盗窃或被竞争对手利用来获取竞争优势。
• 持续监视：后门通常允许攻击者监视用户活动、捕获击键、记录密码和观察网络流量，从而实现持续监视。这种监视可能会损害个人和组织的机密性和隐私。
• 系统操纵：攻击者可能会操纵受感染的系统以达到有害目的，例如发动进一步攻击（例如，分发垃圾邮件或发起 DDoS 攻击）、更改或删除数据或破坏关键服务。
• 声誉和信任受损：后门恶意软件造成的违规行为会损害组织的声誉并削弱客户信任。组织可能会面临法律和监管后果，尤其是如果它们没有充分保护敏感数据。
• 财务损失：补救措施（包括法医调查、系统修复和潜在法律费用）可能会给受影响的组织带来重大财务损失。此外，停机和生产力损失可能会影响收入和运营效率。
• 运营中断：后门恶意软件可导致严重的运营中断，包括服务中断、网络完整性受损等。这可能会影响日常运营，并可能导致商业机会的丧失。
• 长期危害：如果后门未被发现或未得到适当补救，则可能会持续危害系统，使攻击者能够持续访问和控制。这种长期危害可能会随着时间的推移扩大影响并加深后果的严重性。

总而言之，感染后门恶意软件会给受害者带来严重风险，包括财务、运营、声誉和法律影响。预防措施（例如强大的网络安全实践、定期审计和员工培训）对于减轻这些风险和防范此类威胁至关重要。