תוכנת זדונית Goldbackdoor

עד Mezo ב-Backdoors, Advanced Persistent Threat (APT)

לתרגם ל:

קבוצת APT (Advanced Persistent Threat) שהאמינו שיש לה קשרים עם ממשלת צפון קוריאה, מכוונת לעיתונאים עם איום חדש ומתוחכם בדלת האחורית בשם התוכנה הזדונית Goldbackdoor. קבוצת ההאקרים הספציפית נמצאת במעקב על ידי ארגוני אבטחת סייבר תחת מספר שמות שונים - APT37 , InkySquid, Reaper, ScarCruft ו-Ricochet Collima.

על פי ההערכות, המבצע המאיים החל בשלב מסוים במרץ 2022 במטרה העיקרית לאסוף מידע רגיש מהמטרות. עד כה, חוקרי infosec זיהו כי נתונים נלקחו מהמחשב הפרטי של פקיד מודיעין דרום קוריאני לשעבר. הפעולה מתחילה בניסיונות דיוג בחנית, כאשר ההאקרים מתחזים לישות הלגיטימית של NK News.

פרטים על תוכנת זדונית Goldbackdoor

ניתוח האיום שבוצע על ידי חוקרים גילה ש-Goldbackdoor היא תוכנה זדונית רב-שלבית עם מערך מורחב של יכולות מאיימות. בשל הדמיון והחפיפה המשמעותיים בתוך הקוד והתנהגותו, המומחים מצהירים כי האיום החדש הוא ככל הנראה יורש של תוכנת הזדונית Bluelight, אחד מהמכשירים המזיקים שבהם השתמש APT37 בעבר.

ההאקרים פיצלו את פעולת האיום לשלב כלי עבודה ראשון ושלב שני שבו מועבר המטען הסופי. עיצוב זה מאפשר לתוקפים לעצור את הפעולה לאחר הדבקה מוצלחת ראשונית של המכשירים הממוקדים. זה גם עושה ניתוח רטרוספקטיבי פוטנציאלי של האיום, לאחר הסרת המטענים מהתשתית, הרבה יותר קשה.

לאחר הפעלתה, Goldbackdoor מספקת לשחקני האיום את היכולת לבצע פקודות מרחוק, לסנן נתונים, לאסוף קבצים או להוריד קבצים נוספים למכונה שנפרצה, להקים שגרות רישום מקשים ועוד. ההאקרים יכולים גם להורות לאיום להסיר את עצמו מרחוק מהמערכת שנפרצה. כדי לקבל את הפקודות הנכנסות מההאקרים, Goldbackdoor משתמשת בספקי שירותי ענן ומגיעה מצוידת בסט של מפתחות API המאפשרים לה לאמת מול פלטפורמת מחשוב הענן Azure של מיקרוסופט.