Goldbackdoor البرامج الضارة

بواسطة Mezo في Backdoors, Advanced Persistent Threat (APT)

ترجمة الى:

استهدفت مجموعة APT (التهديد المستمر المتقدم) التي يعتقد أن لها صلات بحكومة كوريا الشمالية الصحفيين بتهديد جديد معقد من الباب الخلفي يسمى برنامج Goldbackdoor الخبيث. يتم تعقب مجموعة الهاكرز الخاصة من قبل منظمات الأمن السيبراني تحت عدة أسماء مختلفة - APT37 و InkySquid و Reaper و ScarCruft و Ricochet Collima.

يُعتقد أن العملية التهديدية قد بدأت في وقت ما في مارس 2022 بهدف أساسي هو جمع معلومات حساسة من الأهداف. حتى الآن ، حدد باحثو إنفوسك أن البيانات مأخوذة من الكمبيوتر الخاص لمسؤول مخابرات كوري جنوبي سابق. تبدأ العملية بمحاولات التصيد بالرمح ، حيث يتظاهر المتسللون ككيان NK News الشرعي.

تفاصيل حول البرامج الضارة Goldbackdoor

كشف تحليل التهديد الذي أجراه الباحثون أن Goldbackdoor عبارة عن برنامج ضار متعدد المراحل مع مجموعة موسعة من القدرات التهديدية. نظرًا لأوجه التشابه والتداخل الكبيرة داخل الكود وسلوكه ، يشير الخبراء إلى أن التهديد الجديد هو على الأرجح خليفة لبرنامج Bluelight الضار ، وهو أحد الأدوات الضارة التي استخدمتها APT37 في الماضي.

قسّم المتسللون عملية التهديد إلى مرحلة تجهيز أولى ومرحلة ثانية حيث يتم تسليم الحمولة النهائية. يسمح هذا التصميم للمهاجمين بوقف العملية بعد الإصابة الأولية الناجحة للأجهزة المستهدفة. كما أنه يجعل التحليل الرجعي المحتمل للتهديد ، بعد إزالة الحمولات من البنية التحتية ، أكثر صعوبة.

بمجرد التمكين ، يوفر Goldbackdoor الجهات الفاعلة في التهديد القدرة على تنفيذ الأوامر عن بعد ، أو سرقة البيانات ، أو جمع الملفات أو تنزيل ملفات إضافية إلى الجهاز الذي تم اختراقه ، وإنشاء إجراءات تسجيل لوحة المفاتيح والمزيد. يمكن للمتسللين أيضًا إصدار تعليمات للتهديد بإلغاء تثبيت نفسه عن بُعد من النظام المخترق. لتلقي الأوامر الواردة من المتسللين ، يستخدم Goldbackdoor مزودي الخدمات السحابية ويأتي مزودًا بمجموعة من مفاتيح API التي تسمح له بالمصادقة مقابل نظام الحوسبة السحابية Azure من Microsoft.