Goldbackdoor Malware

V roce Mezo v roce Backdoors, Advanced Persistent Threat (APT)

Přeložit do:

Skupina APT (Advanced Persistent Threat), o níž se předpokládá, že má vazby na severokorejskou vládu, se zaměřuje na novináře novou sofistikovanou hrozbou typu backdoor s názvem malware Goldbackdoor. Konkrétní skupina hackerů je sledována organizacemi pro kybernetickou bezpečnost pod několika různými názvy – APT37 , InkySquid, Reaper, ScarCruft a Ricochet Collima.

Předpokládá se, že hrozivá operace začala někdy v březnu 2022 s primárním cílem shromáždit citlivé informace od cílů. Výzkumníci z Infosec zatím zjistili, že data byla převzata ze soukromého počítače bývalého jihokorejského zpravodajského úředníka. Operace začíná pokusy o spear-phishing, kde se hackeři vydávají za legitimní entitu NK News.

Podrobnosti o malwaru Goldbackdoor

Analýza hrozby, kterou provedli výzkumníci, odhalila, že Goldbackdoor je vícestupňový malware s rozšířenou sadou hrozeb. Vzhledem k významným podobnostem a překrývání v rámci kódu a jeho chování odborníci uvádějí, že nová hrozba je s největší pravděpodobností nástupcem malwaru Bluelight, jednoho ze škodlivých nástrojů používaných APT37 v minulosti.

Hackeři rozdělili fungování hrozby do první fáze nástroje a druhé, kde je doručována konečná užitečná zátěž. Tento design umožňuje útočníkům zastavit operaci po počáteční úspěšné infekci cílových zařízení. To také výrazně ztěžuje případnou retrospektivní analýzu hrozby poté, co byly z infrastruktury odstraněny užitečné zátěže.

Po aktivaci poskytuje Goldbackdoor aktérům hrozeb možnost provádět vzdálené příkazy, exfiltrovat data, shromažďovat soubory nebo stahovat další do narušeného počítače, zavádět rutiny pro záznam kláves a další. Hackeři mohou také nařídit hrozbě, aby se vzdáleně odinstalovala z napadeného systému. K přijímání příchozích příkazů od hackerů využívá Goldbackdoor poskytovatele cloudových služeb a je vybaven sadou klíčů API, které mu umožňují ověření proti cloudové výpočetní platformě Microsoft Azure.