بدافزار Goldbackdoor

تا Mezo در Backdoors, Advanced Persistent Threat (APT)

ترجمه به:

یک گروه APT (تهدید دائمی پیشرفته) که گمان می رود با دولت کره شمالی ارتباط دارد، روزنامه نگاران را با یک تهدید در پشتی پیچیده جدید به نام بدافزار Goldbackdoor هدف قرار داده است. این گروه هکر خاص توسط سازمان های امنیت سایبری تحت چندین نام مختلف ردیابی می شود - APT37 ، InkySquid، Reaper، ScarCruft و Ricochet Collima.

اعتقاد بر این است که عملیات تهدید در نقطه ای در مارس 2022 با هدف اولیه جمع آوری اطلاعات حساس از اهداف آغاز شده است. تاکنون، محققان infosec شناسایی کرده‌اند که داده‌ها از رایانه شخصی یک مقام سابق اطلاعاتی کره جنوبی گرفته شده است. عملیات با تلاش های فیشینگ نیزه ای آغاز می شود، جایی که هکرها به عنوان نهاد قانونی NK News ظاهر می شوند.

جزئیات درباره بدافزار Goldbackdoor

تجزیه و تحلیل تهدید انجام شده توسط محققان نشان می دهد که Goldbackdoor یک بدافزار چند مرحله ای با مجموعه گسترده ای از قابلیت های تهدید کننده است. با توجه به شباهت ها و همپوشانی های قابل توجه در کد و رفتار آن، کارشناسان بیان می کنند که تهدید جدید به احتمال زیاد جانشین بدافزار Bluelight است، یکی از ابزارهای مضر مورد استفاده APT37 در گذشته.

هکرها عملیات تهدید را به مرحله ابزارسازی اول و مرحله دوم که بار نهایی تحویل داده می شود تقسیم کرده اند. این طراحی به مهاجمان اجازه می دهد تا پس از آلودگی موفقیت آمیز اولیه دستگاه های مورد نظر، عملیات را متوقف کنند. همچنین تجزیه و تحلیل گذشته نگر احتمالی تهدید را پس از حذف محموله ها از زیرساخت بسیار سخت تر می کند.

پس از فعال‌سازی، Goldbackdoor توانایی اجرای دستورات از راه دور، استخراج داده‌ها، جمع‌آوری فایل‌ها یا دانلود فایل‌های اضافی در دستگاه نقض‌شده، ایجاد روال‌های keylogging و موارد دیگر را در اختیار عوامل تهدید قرار می‌دهد. هکرها همچنین می توانند به تهدید دستور دهند که خود را از راه دور از سیستم در معرض خطر حذف نصب کند. برای دریافت دستورات دریافتی از هکرها، Goldbackdoor از ارائه‌دهندگان خدمات ابری استفاده می‌کند و به مجموعه‌ای از کلیدهای API مجهز است که به آن اجازه می‌دهد در برابر پلت فرم محاسبات ابری Azure مایکروسافت احراز هویت شود.