Goldbackdoor Malware

Sa pamamagitan ng Mezo sa Backdoors, Advanced Persistent Threat (APT)

Isalin To:

Isang grupo ng APT (Advanced Persistent Threat) na pinaniniwalaang may kaugnayan sa gobyerno ng North Korea ang nagta-target sa mga mamamahayag ng isang bagong sopistikadong banta sa backdoor na pinangalanang Goldbackdoor malware. Ang partikular na grupo ng hacker ay sinusubaybayan ng mga organisasyon ng cybersecurity sa ilalim ng maraming iba't ibang pangalan - APT37 , InkySquid, Reaper, ScarCruft at Ricochet Collima.

Ang nagbabantang operasyon ay pinaniniwalaang nagsimula noong Marso 2022 na may pangunahing layunin na mangolekta ng sensitibong impormasyon mula sa mga target. Sa ngayon, natukoy ng mga mananaliksik ng infosec na ang data ay kinuha mula sa pribadong computer ng isang dating opisyal ng intelligence ng South Korea. Nagsisimula ang operasyon sa mga pagtatangka ng spear-phishing, kung saan nagpapanggap ang mga hacker bilang lehitimong entity ng NK News.

Mga detalye tungkol sa Goldbackdoor Malware

Ang pagsusuri sa banta na isinagawa ng mga mananaliksik ay nagsiwalat na ang Goldbackdoor ay isang multi-stage na malware na may pinalawak na hanay ng mga kakayahan sa pagbabanta. Dahil sa mga makabuluhang pagkakatulad at magkakapatong sa loob ng code at sa gawi nito, sinabi ng mga eksperto na ang bagong banta ay malamang na kahalili ng Bluelight malware, isa sa mga nakakapinsalang instrumento na ginamit ng APT37 sa nakaraan.

Hinati ng mga hacker ang operasyon ng banta sa unang yugto ng tooling at pangalawa kung saan naihatid ang huling kargamento. Ang disenyong ito ay nagbibigay-daan sa mga umaatake na ihinto ang operasyon pagkatapos ng unang matagumpay na impeksyon sa mga naka-target na device. Ginagawa rin nitong mas mahirap ang potensyal na retrospective analysis ng banta, pagkatapos na alisin ang mga payload sa imprastraktura.

Kapag na-enable na, binibigyan ng Goldbackdoor ang mga aktor ng pagbabanta ng kakayahang magsagawa ng mga malayuang command, mag-exfiltrate ng data, mangolekta ng mga file o mag-download ng mga karagdagang file sa nilabag na makina, magtatag ng mga gawain sa keylogging at higit pa. Ang mga hacker ay maaari ding magturo sa banta na i-uninstall ang sarili nito nang malayuan mula sa nakompromisong sistema. Upang matanggap ang mga papasok na command mula sa mga hacker, ang Goldbackdoor ay gumagamit ng mga cloud service provider at nilagyan ng isang set ng mga API key na nagbibigay-daan dito na mag-authenticate laban sa Azure cloud computing platform ng Microsoft.