Goldbackdoori pahavara

Aastaks Mezo aastal Backdoors, Advanced Persistent Threat (APT)

Tõlgi:

APT (Advanced Persistent Threat) rühm, millel arvatakse olevat sidemeid Põhja-Korea valitsusega, on võtnud ajakirjanike sihikule uue keeruka tagaukse ohu nimega Goldbackdoor pahavara. Konkreetset häkkerirühma jälgivad küberjulgeolekuorganisatsioonid mitme erineva nime all – APT37 , InkySquid, Reaper, ScarCruft ja Ricochet Collima.

Arvatakse, et ähvardamisoperatsioon algas mingil hetkel 2022. aasta märtsis, mille peamine eesmärk oli koguda sihtmärkidelt tundlikku teavet. Seni on infoseci teadlased tuvastanud, et andmed on võetud Lõuna-Korea endise luureametniku eraarvutist. Operatsioon algab oda-andmepüügi katsetega, kus häkkerid esinevad seadusliku NK Newsi üksusena.

Üksikasjad Goldbackdoori pahavara kohta

Teadlaste läbiviidud ohu analüüs näitas, et Goldbackdoor on mitmeastmeline pahavara, millel on laiendatud ohustamisvõimalused. Koodi ja selle käitumise oluliste sarnasuste ja kattuvuse tõttu väidavad eksperdid, et uue ohu puhul on tõenäoliselt tegu Bluelighti pahavara järeltulijaga, mis on üks APT37 poolt varem kasutatud kahjulikke vahendeid.

Häkkerid on jaganud ohu toimimise esimeseks tööriistade ettevalmistamise etapiks ja teiseks, kus tarnitakse lõplik koormus. See disain võimaldab ründajatel pärast sihitud seadmete esialgset edukat nakatumist operatsiooni peatada. Samuti muudab see palju raskemaks ohu võimaliku tagasiulatuva analüüsi pärast seda, kui kasulikud koormused on infrastruktuurist eemaldatud.

Pärast lubamist annab Goldbackdoor ohus osalejatele võimaluse täita kaugkäsklusi, välja filtreerida andmeid, koguda faile või alla laadida rikutud masinasse täiendavaid faile, luua klahvilogimise rutiine ja palju muud. Häkkerid võivad ka käskida ohul end ohustatud süsteemist eemalt desinstallida. Häkkeritelt sissetulevate käskude vastuvõtmiseks kasutab Goldbackdoor pilveteenuse pakkujaid ja on varustatud API-võtmete komplektiga, mis võimaldab autentida Microsofti Azure'i pilvandmetöötlusplatvormi.