Malware Goldbackdoor

Nga Mezo në Backdoors, Advanced Persistent Threat (APT)

Përkthe në:

Një grup APT (Kërcënimi i Përparuar i Përparuar) që besohet se ka lidhje me qeverinë e Koresë së Veriut ka shënjestruar gazetarët me një kërcënim të ri të sofistikuar nga prapavija e quajtur malware Goldbackdoor. Grupi i veçantë i hakerëve gjurmohet nga organizatat e sigurisë kibernetike me disa emra të ndryshëm - APT37 , InkySquid, Reaper, ScarCruft dhe Ricochet Collima.

Operacioni kërcënues besohet se ka nisur në një moment në mars 2022 me qëllimin kryesor mbledhjen e informacionit të ndjeshëm nga objektivat. Deri më tani, studiuesit e infosec kanë identifikuar se të dhënat janë marrë nga kompjuteri privat i një ish-zyrtari të inteligjencës koreano-jugore. Operacioni fillon me tentativa spear-phishing, ku hakerët pozojnë si entiteti legjitim i NK News.

Detaje rreth malware Goldbackdoor

Analiza e kërcënimit të kryer nga studiuesit ka zbuluar se Goldbackdoor është një malware me shumë faza me një grup të zgjeruar të aftësive kërcënuese. Për shkak të ngjashmërive dhe mbivendosjeve të rëndësishme brenda kodit dhe sjelljes së tij, ekspertët deklarojnë se kërcënimi i ri ka shumë të ngjarë një pasardhës i malware Bluelight, një nga instrumentet e dëmshme të përdorura nga APT37 në të kaluarën.

Hakerët e kanë ndarë funksionimin e kërcënimit në një fazë të parë të veglave dhe në një fazë të dytë ku shpërndahet ngarkesa përfundimtare. Ky dizajn i lejon sulmuesit të ndalojnë operacionin pas infektimit fillestar të suksesshëm të pajisjeve të synuara. Ai gjithashtu e bën analizën e mundshme retrospektive të kërcënimit, pasi ngarkesat e dobishme janë hequr nga infrastruktura shumë më e vështirë.

Pasi të aktivizohet, Goldbackdoor u siguron aktorëve të kërcënimit aftësinë për të ekzekutuar komanda në distancë, për të nxjerrë të dhëna, për të mbledhur skedarë ose për të shkarkuar skedarë shtesë në kompjuterin e dëmtuar, për të vendosur rutina të regjistrimit të tasteve dhe më shumë. Hakerat gjithashtu mund të udhëzojnë kërcënimin për të çinstaluar veten nga distanca nga sistemi i komprometuar. Për të marrë komandat hyrëse nga hakerët, Goldbackdoor përdor ofruesit e shërbimeve cloud dhe vjen i pajisur me një sërë çelësash API që e lejojnë atë të vërtetohet kundrejt platformës kompjuterike cloud të Microsoft Azure.