Зловреден софтуер Goldbackdoor

До Mezo през Backdoors, Advanced Persistent Threat (APT)г

Превод на:

Група APT (Advanced Persistent Threat), за която се смята, че има връзки с правителството на Северна Корея, е насочена към журналисти с нова сложна заплаха за задната врата, наречена зловреден софтуер Goldbackdoor. Конкретната хакерска група се проследява от организации за киберсигурност под няколко различни имена - APT37 , InkySquid, Reaper, ScarCruft и Ricochet Collima.

Смята се, че заплашващата операция е започнала в някакъв момент през март 2022 г. с основната цел събиране на чувствителна информация от целите. Досега изследователите на infosec установиха, че данните са взети от частния компютър на бивш служител на южнокорейското разузнаване. Операцията започва с опити за фишинг, при които хакерите се представят за легитимния субект на NK News.

Подробности за зловредния софтуер Goldbackdoor

Анализът на заплахата, извършен от изследователите, разкри, че Goldbackdoor е многоетапен зловреден софтуер с разширен набор от заплашителни възможности. Поради значителните прилики и припокриване в кода и неговото поведение, експертите заявяват, че новата заплаха най-вероятно е наследник на зловредния софтуер Bluelight, един от вредните инструменти, използвани от APT37 в миналото.

Хакерите са разделили работата на заплахата на първи етап на инструменти и втори, където се доставя окончателният полезен товар. Този дизайн позволява на нападателите да спрат операцията след първоначално успешно заразяване на целевите устройства. Това също така прави потенциалния ретроспективен анализ на заплахата, след като полезните товари са били премахнати от инфраструктурата, много по-труден.

Веднъж активиран, Goldbackdoor предоставя на участниците в заплахата възможността да изпълняват отдалечени команди, да ексфилтрират данни, да събират файлове или да изтеглят допълнителни на взломената машина, да установяват рутинни програми за кейлогинг и др. Хакерите също могат да инструктират заплахата да се деинсталира дистанционно от компрометираната система. За да получава входящите команди от хакерите, Goldbackdoor използва доставчици на облачни услуги и е оборудван с набор от API ключове, които му позволяват да се удостовери срещу платформата за облачни изчисления на Microsoft Azure.