Goldbackdoor Malware

Mezo'de Backdoors, Advanced Persistent Threat (APT)'de

Çevir:

Kuzey Kore hükümetiyle bağları olduğuna inanılan bir APT (Gelişmiş Kalıcı Tehdit) grubu, gazetecileri Goldbackdoor kötü amaçlı yazılımı adlı yeni, karmaşık bir arka kapı tehdidiyle hedef alıyor. Belirli bir hacker grubu, siber güvenlik kuruluşları tarafından APT37, InkySquid, Reaper, ScarCruft ve Ricochet Collima gibi birkaç farklı isim altında izleniyor.

Tehdit operasyonunun, öncelikli hedeflerden hassas bilgiler toplamak amacıyla Mart 2022'de bir noktada başladığına inanılıyor. Şimdiye kadar, bilgi güvenliği araştırmacıları, verilerin eski bir Güney Koreli istihbarat yetkilisinin özel bilgisayarından alındığını belirledi. Operasyon, bilgisayar korsanlarının meşru NK News varlığı gibi davrandığı mızraklı kimlik avı girişimleriyle başlar.

Goldbackdoor Kötü Amaçlı Yazılımı hakkında ayrıntılar

Araştırmacılar tarafından yürütülen tehdidin analizi, Goldbackdoor'un genişletilmiş bir dizi tehdit kabiliyetine sahip çok aşamalı bir kötü amaçlı yazılım olduğunu ortaya çıkardı. Kod ve davranışındaki önemli benzerlikler ve örtüşmeler nedeniyle uzmanlar, yeni tehdidin büyük olasılıkla geçmişte APT37 tarafından kullanılan zararlı araçlardan biri olan Bluelight kötü amaçlı yazılımının halefi olduğunu belirtiyor.

Bilgisayar korsanları, tehdidin işleyişini ilk araç oluşturma aşamasına ve son yükün teslim edildiği ikinci aşamaya böldü. Bu tasarım, saldırganların, hedeflenen cihazlara ilk başarılı enfeksiyon bulaşmasından sonra işlemi durdurmasına olanak tanır. Ayrıca, yükler altyapıdan kaldırıldıktan sonra tehdidin geriye dönük potansiyel analizini çok daha zor hale getirir.

Goldbackdoor etkinleştirildiğinde, tehdit aktörlerine uzaktan komutlar yürütme, verileri sızdırma, dosya toplama veya ihlal edilen makineye ek dosyalar indirme, keylogging rutinleri oluşturma ve daha fazlasını sağlar. Bilgisayar korsanları ayrıca tehdide, güvenliği ihlal edilmiş sistemden kendisini uzaktan kaldırması talimatını verebilir. Goldbackdoor, bilgisayar korsanlarından gelen komutları almak için bulut hizmeti sağlayıcılarını kullanır ve Microsoft'un Azure bulut bilgi işlem platformuna karşı kimlik doğrulamasını sağlayan bir dizi API anahtarıyla donatılmıştır.