GoRed後門
俄羅斯組織遭到了名為 ExCobalt 的網路犯罪組織的攻擊,該組織採用了新發現的基於 Golang 的後門程式 GoRed。
ExCobalt 專門從事網路間諜活動,由至少自 2016 年以來一直活躍的多名成員組成,可能源自臭名昭著的Cobalt幫派。 Cobalt Gang 因以金融機構為目標來獲取資金而臭名昭著,他們的標誌性工具之一是 CobInt。 ExCobalt 於 2022 年採用了CobInt 。
目錄
針對目標的攻擊中利用了大量破壞性工具
在過去的一年裡,威脅行為者瞄準了俄羅斯的各個部門,包括政府、資訊科技、冶金、採礦、軟體開發和電信。
攻擊者透過利用先前受感染的承包商並進行供應鏈攻擊來獲得對環境的初始訪問權限,在攻擊中他們感染用於構建目標公司合法軟體的組件,這表明其複雜程度很高。
他們的作案手法涉及使用 Metasploit、 Mimikatz 、ProcDump、SMBExec 和Spark RAT等多種工具在受感染的主機上執行命令,以及 Linux 權限提升漏洞(CVE-2019-13272、CVE-2021-3156、CVE -2021 -4034 和CVE-2022-2586)。
GoRed 後門為威脅參與者提供了大量入侵操作
GoRed 自誕生以來已經經歷了多次迭代,是一種多功能後門,使操作員能夠執行命令、獲取憑證並收集有關活動進程、網路介面和檔案系統的詳細資訊。它利用遠端過程呼叫 (RPC) 協定與其命令和控制 (C2) 伺服器進行通訊。
此外,GoRed 支援各種後台命令來監視感興趣的檔案和密碼,以及啟用反向 shell。然後,收集到的資料將會匯出到攻擊者控制的基礎設施。
ExCobalt 繼續展現針對俄羅斯公司的高水準活動和決心,不斷為其武器庫添加新工具並改進其技術。此外,ExCobalt 透過將修改後的標準實用程式納入其工具集中,展現了靈活性和適應性,使團隊能夠輕鬆繞過安全控制並適應保護方法的變化。
後門惡意軟體感染可能導致嚴重後果
後門惡意軟體的感染可能會對受害者造成嚴重後果,導致:
- 未經授權的存取:後門允許攻擊者獲得對受感染系統或網路的未經授權的存取。這最終可能導致個人資訊被盜,其中可能包括個人資料、財務記錄、智慧財產權或機密政府資訊。
- 資料竊取和間諜活動:攻擊者可以從受感染的系統中竊取數據,從而導致潛在的資料外洩。這些收集到的資訊可以在暗網上出售,用於身分盜竊或被競爭對手組織用來獲取競爭優勢。
- 持續監視:後門通常允許攻擊者監視使用者活動、捕獲擊鍵、記錄密碼和觀察網路流量,從而實現持續監視。這種監視可能會損害個人和組織的機密性和隱私。
- 系統操縱:攻擊者可能會出於有害目的操縱受感染的系統,例如發動進一步的攻擊(例如,分發垃圾郵件或發動 DDoS 攻擊)、更改或刪除資料或破壞關鍵服務。
- 聲譽和信任受損:後門惡意軟體造成的違規可能會損害組織的聲譽並削弱客戶的信任。組織可能會面臨法律和監管的影響,特別是如果它們沒有充分保護敏感資料的話。
- 財務損失:補救措施,包括取證調查、系統修復和潛在的法律費用,可能會對受影響的組織帶來重大的財務損失。此外,停機和生產力損失會影響收入和營運效率。
- 營運中斷:後門惡意軟體可能會導致嚴重的營運中斷,從服務中斷到網路完整性受損。這可能會影響日常營運並可能導致商業機會的損失。
- 長期危害:如果未被發現或未正確修復,後門可能會持續危害系統,使攻擊者能夠持續存取和控制。隨著時間的推移,這種長期妥協可能會擴大影響並加深後果的嚴重性。
總之,後門惡意軟體的感染會為受害者帶來嚴重的風險,包括財務、營運、聲譽和法律影響。強有力的網路安全實務、定期稽核和員工培訓等預防措施對於減輕這些風險和防範此類威脅至關重要。
