Вредоносное ПО Goldbackdoor

К Mezo году в Backdoors, Advanced Persistent Threat (APT) году

Перевести на:

Группа APT (Advanced Persistent Threat), которая, как полагают, имеет связи с правительством Северной Кореи, нацелилась на журналистов с помощью новой сложной бэкдор-угрозы под названием Goldbackdoor. Конкретная хакерская группа отслеживается организациями по кибербезопасности под разными именами — APT37 , InkySquid, Reaper, ScarCruft и Ricochet Collima.

Предполагается, что угрожающая операция началась где-то в марте 2022 года с основной целью сбора конфиденциальной информации от целей. На данный момент исследователи информационной безопасности установили, что данные были взяты с личного компьютера бывшего сотрудника южнокорейской разведки. Операция начинается с попыток целевого фишинга, когда хакеры выдают себя за законную организацию NK News.

Подробности о вредоносном ПО Goldbackdoor

Анализ угрозы, проведенный исследователями, показал, что Goldbackdoor представляет собой многоэтапное вредоносное ПО с расширенным набором угрожающих возможностей. Из-за значительного сходства и дублирования кода и его поведения эксперты заявляют, что новая угроза, скорее всего, является преемником вредоносного ПО Bluelight, одного из вредоносных инструментов, используемых APT37 в прошлом.

Хакеры разделили действие угрозы на первый этап инструментов и второй этап, на котором доставляется конечная полезная нагрузка. Этот дизайн позволяет злоумышленникам остановить операцию после первоначального успешного заражения целевых устройств. Это также значительно усложняет потенциальный ретроспективный анализ угрозы после того, как полезные нагрузки были удалены из инфраструктуры.

После включения Goldbackdoor предоставляет злоумышленникам возможность выполнять удаленные команды, извлекать данные, собирать файлы или загружать дополнительные файлы на взломанную машину, устанавливать процедуры регистрации клавиатуры и многое другое. Хакеры также могут дать указание угрозе удаленно удалить себя из скомпрометированной системы. Чтобы получать входящие команды от хакеров, Goldbackdoor использует поставщиков облачных услуг и оснащен набором ключей API, позволяющих аутентифицироваться на платформе облачных вычислений Microsoft Azure.