Goldbackdoor Malware

Med Mezo i Backdoors, Advanced Persistent Threat (APT)

Oversæt til:

En APT-gruppe (Advanced Persistent Threat), som menes at have bånd til den nordkoreanske regering, har målrettet journalister med en ny sofistikeret bagdørstrussel ved navn Goldbackdoor-malwaren. Den særlige hackergruppe spores af cybersikkerhedsorganisationer under flere forskellige navne - APT37, InkySquid, Reaper, ScarCruft og Ricochet Collima.

Den truende operation menes at være startet på et tidspunkt i marts 2022 med det primære mål at indsamle følsomme oplysninger fra målene. Indtil videre har infosec-forskere identificeret, at data er blevet taget fra en tidligere sydkoreansk efterretningstjenestes private computer. Operationen begynder med spyd-phishing-forsøg, hvor hackerne udgiver sig som den legitime NK News-entitet.

Detaljer om Goldbackdoor Malware

Analyse af truslen udført af forskere har afsløret, at Goldbackdoor er en multi-trins malware med et udvidet sæt af truende muligheder. På grund af de betydelige ligheder og overlap i koden og dens adfærd, siger eksperterne, at den nye trussel højst sandsynligt er en efterfølger af Bluelight-malwaren, et af de skadelige instrumenter, som APT37 tidligere brugte.

Hackerne har opdelt driften af truslen i et første værktøjstrin og et andet, hvor den endelige nyttelast leveres. Dette design gør det muligt for angriberne at standse operationen efter indledende vellykket infektion af de målrettede enheder. Det gør også en potentiel retrospektiv analyse af truslen, efter at nyttelasterne er blevet fjernet fra infrastrukturen, meget sværere.

Når det er aktiveret, giver Goldbackdoor trusselsaktørerne muligheden for at udføre fjernkommandoer, eksfiltrere data, indsamle filer eller downloade yderligere filer til den brudte maskine, etablere keylogging-rutiner og mere. Hackerne kan også instruere truslen om at fjerne sig selv fra det kompromitterede system. For at modtage de indkommende kommandoer fra hackerne bruger Goldbackdoor cloud-tjenesteudbydere og er udstyret med et sæt API-nøgler, der gør det muligt at autentificere mod Microsofts Azure cloud computing-platform.