Goldbackdoor Malware

Do roku Mezo v roku Backdoors, Advanced Persistent Threat (APT)

Preložiť do:

Skupina APT (Advanced Persistent Threat), o ktorej sa predpokladá, že má väzby na severokórejskú vládu, sa zameriava na novinárov s novou sofistikovanou hrozbou typu backdoor s názvom malvér Goldbackdoor. Konkrétnu skupinu hackerov sledujú organizácie zaoberajúce sa kybernetickou bezpečnosťou pod niekoľkými rôznymi názvami - APT37 , InkySquid, Reaper, ScarCruft a Ricochet Collima.

Predpokladá sa, že hrozivá operácia sa začala niekedy v marci 2022 s hlavným cieľom zhromaždiť citlivé informácie od cieľov. Výskumníci z Infosec zatiaľ zistili, že údaje boli prevzaté zo súkromného počítača bývalého predstaviteľa juhokórejskej tajnej služby. Operácia začína pokusmi o spear-phishing, kde hackeri vystupujú ako legitímna entita NK News.

Podrobnosti o malvéri Goldbackdoor

Analýza hrozby vykonaná výskumníkmi odhalila, že Goldbackdoor je viacstupňový malvér s rozšíreným súborom ohrozujúcich schopností. Vzhľadom na značné podobnosti a presahy v rámci kódu a jeho správania experti konštatujú, že nová hrozba je s najväčšou pravdepodobnosťou nástupcom malvéru Bluelight, jedného zo škodlivých nástrojov používaných APT37 v minulosti.

Hackeri rozdelili fungovanie hrozby na prvú fázu nástrojov a druhú, kde sa doručuje konečné užitočné zaťaženie. Tento dizajn umožňuje útočníkom zastaviť operáciu po počiatočnej úspešnej infekcii cieľových zariadení. Oveľa ťažšia je aj potenciálna retrospektívna analýza hrozby po odstránení užitočného zaťaženia z infraštruktúry.

Po aktivácii poskytuje Goldbackdoor aktérom hrozieb možnosť vykonávať vzdialené príkazy, exfiltrovať údaje, zbierať súbory alebo sťahovať ďalšie súbory do narušeného počítača, vytvárať rutiny zaznamenávania kľúčov a ďalšie. Hackeri môžu tiež prikázať hrozbe, aby sa vzdialene odinštalovala z napadnutého systému. Na prijímanie prichádzajúcich príkazov od hackerov využíva Goldbackdoor poskytovateľov cloudových služieb a je vybavený sadou kľúčov API, ktoré mu umožňujú autentifikáciu proti cloudovej výpočtovej platforme Microsoft Azure.