Goldbackdoor Malware

Do leta Mezo leta Backdoors, Advanced Persistent Threat (APT)

Prevedi v:

Skupina APT (Advanced Persistent Threat), za katero se domneva, da je povezana s severnokorejsko vlado, cilja na novinarje z novo sofisticirano grožnjo v zakulisju, imenovano zlonamerna programska oprema Goldbackdoor. Določeno hekersko skupino spremljajo organizacije za kibernetsko varnost pod več različnimi imeni - APT37, InkySquid, Reaper, ScarCruft in Ricochet Collima.

Nevarna operacija naj bi se začela v nekem trenutku marca 2022 s primarnim ciljem zbiranja občutljivih informacij od tarč. Doslej so raziskovalci infosec ugotovili, da so bili podatki vzeti iz zasebnega računalnika nekdanjega južnokorejskega obveščevalnega uradnika. Operacija se začne s poskusi lažnega predstavljanja, kjer se hekerji predstavljajo kot zakoniti subjekt NK News.

Podrobnosti o zlonamerni programski opremi Goldbackdoor

Analiza grožnje, ki so jo izvedli raziskovalci, je pokazala, da je Goldbackdoor večstopenjska zlonamerna programska oprema z razširjenim naborom ogrožajočih zmogljivosti. Zaradi precejšnje podobnosti in prekrivanja znotraj kode in njenega obnašanja strokovnjaki navajajo, da je nova grožnja najverjetneje naslednica zlonamerne programske opreme Bluelight, enega od škodljivih instrumentov, ki jih je APT37 uporabljal v preteklosti.

Hekerji so delovanje grožnje razdelili na prvo fazo orodja in drugo, kjer se dostavi končni tovor. Ta zasnova omogoča napadalcem, da ustavijo operacijo po začetni uspešni okužbi ciljnih naprav. Prav tako močno otežuje morebitno retrospektivno analizo grožnje po odstranitvi bremena iz infrastrukture.

Ko je omogočen, Goldbackdoor akterjem grožnje nudi možnost izvajanja oddaljenih ukazov, iztrebljanja podatkov, zbiranja datotek ali prenosa dodatnih datotek v poškodovani stroj, vzpostavitve rutin za beleženje tipkovnic in še več. Hekerji lahko tudi naročijo grožnji, da se odstrani na daljavo iz ogroženega sistema. Za prejemanje dohodnih ukazov od hekerjev Goldbackdoor uporablja ponudnike storitev v oblaku in je opremljen z naborom ključev API, ki mu omogočajo preverjanje pristnosti na Microsoftovi platformi za računalništvo v oblaku Azure.