Programari maliciós Goldbackdoor

El Mezo el Backdoors, Advanced Persistent Threat (APT)

Traduir a:

Un grup d'APT (amenaça persistent avançada) que es creu que té vincles amb el govern de Corea del Nord ha estat apuntant als periodistes amb una nova amenaça sofisticada de porta posterior anomenada programari maliciós Goldbackdoor. Les organitzacions de ciberseguretat segueixen aquest grup de pirates informàtics amb diversos noms diferents: APT37 , InkySquid, Reaper, ScarCruft i Ricochet Collima.

Es creu que l'operació amenaçadora va començar en algun moment del març del 2022 amb l'objectiu principal de recollir informació sensible dels objectius. Fins ara, els investigadors d'infosec han identificat que les dades s'han extret de l'ordinador privat d'un antic funcionari d'intel·ligència de Corea del Sud. L'operació comença amb intents de pesca amb lanza, on els pirates informàtics es fan passar per l'entitat legítima de NK News.

Detalls sobre el programari maliciós Goldbackdoor

L'anàlisi de l'amenaça realitzada pels investigadors ha revelat que Goldbackdoor és un programari maliciós en diverses etapes amb un conjunt ampliat de capacitats amenaçadores. A causa de les similituds importants i la superposició entre el codi i el seu comportament, els experts afirmen que la nova amenaça probablement sigui una successora del programari maliciós Bluelight, un dels instruments nocius utilitzats per APT37 en el passat.

Els pirates informàtics han dividit l'operació de l'amenaça en una primera etapa d'eines i una segona on es lliura la càrrega útil final. Aquest disseny permet als atacants aturar l'operació després de la infecció inicial amb èxit dels dispositius objectiu. També fa que l'anàlisi retrospectiva potencial de l'amenaça sigui molt més difícil després que les càrregues útils s'hagin retirat de la infraestructura.

Un cop habilitat, Goldbackdoor ofereix als actors de l'amenaça la possibilitat d'executar ordres remotes, extreure dades, recopilar fitxers o descarregar-ne d'altres a la màquina violada, establir rutines de registre de tecles i molt més. Els pirates informàtics també poden indicar a l'amenaça que es desinstal·li de forma remota del sistema compromès. Per rebre les ordres entrants dels pirates informàtics, Goldbackdoor utilitza proveïdors de serveis al núvol i ve equipat amb un conjunt de claus API que li permeten autenticar-se amb la plataforma de computació en núvol Azure de Microsoft.