Κακόβουλο λογισμικό Goldbackdoor

Μέχρι το Mezo το Backdoors, Advanced Persistent Threat (APT)

Μετάφραση σε:

Μια ομάδα APT (Advanced Persistent Threat) που πιστεύεται ότι έχει δεσμούς με την κυβέρνηση της Βόρειας Κορέας στοχεύει δημοσιογράφους με μια νέα εξελιγμένη απειλή με την κερκόπορτα που ονομάζεται κακόβουλο λογισμικό Goldbackdoor. Η συγκεκριμένη ομάδα χάκερ παρακολουθείται από οργανισμούς κυβερνοασφάλειας με πολλά διαφορετικά ονόματα - APT37 , InkySquid, Reaper, ScarCruft και Ricochet Collima.

Η απειλητική επιχείρηση πιστεύεται ότι ξεκίνησε κάποια στιγμή τον Μάρτιο του 2022 με πρωταρχικό στόχο τη συλλογή ευαίσθητων πληροφοριών από τους στόχους. Μέχρι στιγμής, οι ερευνητές της infosec έχουν εντοπίσει ότι τα δεδομένα έχουν ληφθεί από τον ιδιωτικό υπολογιστή ενός πρώην αξιωματούχου των μυστικών υπηρεσιών της Νότιας Κορέας. Η επιχείρηση ξεκινά με απόπειρες ψαρέματος (spear-phishing), όπου οι χάκερ παρουσιάζονται ως η νόμιμη οντότητα NK News.

Λεπτομέρειες σχετικά με το κακόβουλο λογισμικό Goldbackdoor

Η ανάλυση της απειλής που πραγματοποιήθηκε από ερευνητές αποκάλυψε ότι το Goldbackdoor είναι ένα κακόβουλο λογισμικό πολλαπλών σταδίων με ένα διευρυμένο σύνολο απειλητικών δυνατοτήτων. Λόγω των σημαντικών ομοιοτήτων και αλληλεπικαλύψεων εντός του κώδικα και της συμπεριφοράς του, οι ειδικοί δηλώνουν ότι η νέα απειλή είναι πιθανότατα διάδοχος του κακόβουλου λογισμικού Bluelight, ενός από τα επιβλαβή εργαλεία που χρησιμοποιούσε το APT37 στο παρελθόν.

Οι χάκερ έχουν χωρίσει τη λειτουργία της απειλής σε ένα πρώτο στάδιο εργαλείων και σε ένα δεύτερο όπου παραδίδεται το τελικό ωφέλιμο φορτίο. Αυτός ο σχεδιασμός επιτρέπει στους εισβολείς να σταματήσουν τη λειτουργία μετά την αρχική επιτυχή μόλυνση των στοχευόμενων συσκευών. Επίσης, κάνει την πιθανή αναδρομική ανάλυση της απειλής, αφού τα ωφέλιμα φορτία έχουν αφαιρεθεί από την υποδομή πολύ πιο δύσκολη.

Μόλις ενεργοποιηθεί, το Goldbackdoor παρέχει στους φορείς απειλών τη δυνατότητα να εκτελούν απομακρυσμένες εντολές, να εξάγουν δεδομένα, να συλλέγουν αρχεία ή να κάνουν λήψη πρόσθετων στο μηχάνημα που έχει παραβιαστεί, να καθιερώνουν ρουτίνες καταγραφής πλήκτρων και πολλά άλλα. Οι χάκερ μπορούν επίσης να δώσουν εντολή στην απειλή να απεγκατασταθεί εξ αποστάσεως από το παραβιασμένο σύστημα. Για να λαμβάνει τις εισερχόμενες εντολές από τους χάκερ, το Goldbackdoor χρησιμοποιεί παρόχους υπηρεσιών cloud και είναι εξοπλισμένο με ένα σύνολο κλειδιών API που του επιτρέπουν τον έλεγχο ταυτότητας έναντι της πλατφόρμας υπολογιστικού νέφους Azure της Microsoft.