Goldbackdoor-haittaohjelma

Vuonna Mezo vuonna Backdoors, Advanced Persistent Threat (APT)

Käännä:

APT (Advanced Persistent Threat) -ryhmä, jolla uskotaan olevan siteitä Pohjois-Korean hallitukseen, on kohdistanut toimittajiin uudella kehittyneellä takaoven uhalla nimeltä Goldbackdoor-haittaohjelma. Kyberturvallisuusorganisaatiot seuraavat kyseistä hakkeriryhmää useilla eri nimillä - APT37 , InkySquid, Reaper, ScarCruft ja Ricochet Collima.

Uhkailuoperaation uskotaan alkaneen jossain vaiheessa maaliskuussa 2022 ensisijaisena tavoitteena kerätä kohteista arkaluonteista tietoa. Toistaiseksi infosec-tutkijat ovat havainneet, että tiedot on otettu entisen eteläkorealaisen tiedusteluviranomaisen yksityiseltä tietokoneelta. Operaatio alkaa keihäs-phishing-yrityksillä, joissa hakkerit esiintyvät laillisena NK News -yksikkönä.

Tiedot Goldbackdoor-haittaohjelmasta

Tutkijoiden tekemä uhka-analyysi on paljastanut, että Goldbackdoor on monivaiheinen haittaohjelma, jolla on laajennettu joukko uhkaavia ominaisuuksia. Koodin ja sen käyttäytymisen merkittävien samankaltaisuuksien ja päällekkäisyyksien vuoksi asiantuntijat toteavat, että uusi uhka on todennäköisesti Bluelight-haittaohjelman seuraaja, yksi APT37:n aiemmin käyttämistä haitallisista instrumenteista.

Hakkerit ovat jakaneet uhan toiminnan ensimmäiseen työkaluvaiheeseen ja toiseen vaiheeseen, jossa lopullinen hyötykuorma toimitetaan. Tämän suunnittelun avulla hyökkääjät voivat keskeyttää toiminnan kohteena olevien laitteiden ensimmäisen onnistuneen tartunnan jälkeen. Se myös tekee mahdollisesta takautuvasta uhan analysoinnista paljon vaikeampaa sen jälkeen, kun hyötykuormat on poistettu infrastruktuurista.

Kun Goldbackdoor on otettu käyttöön, se tarjoaa uhkatoimijoille mahdollisuuden suorittaa etäkäskyjä, suodattaa tietoja, kerätä tiedostoja tai ladata lisää rikotun koneeseen, luoda näppäinlokirutiineja ja paljon muuta. Hakkerit voivat myös ohjeistaa uhkaa poistamaan itsensä vaarantuneesta järjestelmästä etänä. Vastaanottaakseen hakkereilta tulevat komennot Goldbackdoor hyödyntää pilvipalveluntarjoajia ja on varustettu joukolla API-avaimia, joiden avulla se voi todentaa Microsoftin Azure-pilvilaskenta-alustaa vastaan.