Goldbackdoor Malware
Skupina APT (Advanced Persistent Threat), o níž se předpokládá, že má vazby na severokorejskou vládu, se zaměřuje na novináře novou sofistikovanou hrozbou typu backdoor s názvem malware Goldbackdoor. Konkrétní skupina hackerů je sledována organizacemi pro kybernetickou bezpečnost pod několika různými názvy – APT37 , InkySquid, Reaper, ScarCruft a Ricochet Collima.
Předpokládá se, že hrozivá operace začala někdy v březnu 2022 s primárním cílem shromáždit citlivé informace od cílů. Výzkumníci z Infosec zatím zjistili, že data byla převzata ze soukromého počítače bývalého jihokorejského zpravodajského úředníka. Operace začíná pokusy o spear-phishing, kde se hackeři vydávají za legitimní entitu NK News.
Podrobnosti o malwaru Goldbackdoor
Analýza hrozby, kterou provedli výzkumníci, odhalila, že Goldbackdoor je vícestupňový malware s rozšířenou sadou hrozeb. Vzhledem k významným podobnostem a překrývání v rámci kódu a jeho chování odborníci uvádějí, že nová hrozba je s největší pravděpodobností nástupcem malwaru Bluelight, jednoho ze škodlivých nástrojů používaných APT37 v minulosti.
Hackeři rozdělili fungování hrozby do první fáze nástroje a druhé, kde je doručována konečná užitečná zátěž. Tento design umožňuje útočníkům zastavit operaci po počáteční úspěšné infekci cílových zařízení. To také výrazně ztěžuje případnou retrospektivní analýzu hrozby poté, co byly z infrastruktury odstraněny užitečné zátěže.
Po aktivaci poskytuje Goldbackdoor aktérům hrozeb možnost provádět vzdálené příkazy, exfiltrovat data, shromažďovat soubory nebo stahovat další do narušeného počítače, zavádět rutiny pro záznam kláves a další. Hackeři mohou také nařídit hrozbě, aby se vzdáleně odinstalovala z napadeného systému. K přijímání příchozích příkazů od hackerů využívá Goldbackdoor poskytovatele cloudových služeb a je vybaven sadou klíčů API, které mu umožňují ověření proti cloudové výpočetní platformě Microsoft Azure.
Goldbackdoor Malware Video
Tip: Zapněte zvuk ON a sledovat video v režimu celé obrazovky.