Goldbackdoor zlonamjerni softver

Do Mezo. Backdoors, Advanced Persistent Threat (APT). godine

Prevedi na:

Grupa APT (Advanced Persistent Threat) za koju se vjeruje da ima veze sa sjevernokorejskom vladom ciljala je novinare novom sofisticiranom backdoor prijetnjom pod nazivom Goldbackdoor zlonamjerni softver. Organizacije za kibernetičku sigurnost prate određenu hakersku grupu pod nekoliko različitih imena - APT37 , InkySquid, Reaper, ScarCruft i Ricochet Collima.

Vjeruje se da je prijeteća operacija započela u nekom trenutku u ožujku 2022. s primarnim ciljem prikupljanja osjetljivih informacija od ciljeva. Do sada su istraživači infoseca identificirali da su podaci uzeti s privatnog računala bivšeg južnokorejskog obavještajnog dužnosnika. Operacija počinje pokušajima krađe identiteta, gdje se hakeri predstavljaju kao legitimni entitet NK News.

Pojedinosti o zlonamjernom softveru Goldbackdoor

Analiza prijetnje koju su proveli istraživači otkrila je da je Goldbackdoor višestupanjski zlonamjerni softver s proširenim skupom prijetećih mogućnosti. Zbog značajnih sličnosti i preklapanja unutar koda i njegovog ponašanja, stručnjaci navode da je nova prijetnja najvjerojatnije nasljednik zlonamjernog softvera Bluelight, jednog od štetnih instrumenata koje je APT37 koristio u prošlosti.

Hakeri su podijelili rad prijetnje na prvu fazu alata i drugu u kojoj se isporučuje konačni teret. Ovaj dizajn omogućuje napadačima da zaustave operaciju nakon početne uspješne infekcije ciljanih uređaja. To također otežava potencijalnu retrospektivnu analizu prijetnje, nakon što je teret uklonjen s infrastrukture.

Jednom kada je omogućen, Goldbackdoor pruža akterima prijetnje mogućnost izvršavanja daljinskih naredbi, eksfiltriranja podataka, prikupljanja datoteka ili preuzimanja dodatnih datoteka na probijeni stroj, uspostavljanja rutina keylogginga i još mnogo toga. Hakeri također mogu uputiti prijetnju da se deinstalira na daljinu iz ugroženog sustava. Za primanje dolaznih naredbi od hakera, Goldbackdoor koristi pružatelje usluga u oblaku i dolazi opremljen skupom API ključeva koji mu omogućuju provjeru autentičnosti na Microsoftovoj Azure platformi za računalstvo u oblaku.