Goldbackdoor Malware

Mezo -ra Backdoors, Advanced Persistent Threat (APT)-ben

Fordítás ide:

Egy APT (Advanced Persistent Threat) csoport, amelyről úgy gondolják, hogy kapcsolatban áll az észak-koreai kormánnyal, új, kifinomult hátsóajtó-fenyegetéssel, a Goldbackdoor malware-rel vette célba az újságírókat. Az adott hackercsoportot kiberbiztonsági szervezetek több különböző néven követik nyomon – APT37 , InkySquid, Reaper, ScarCruft és Ricochet Collima.

A fenyegetőző hadművelet feltehetően valamikor 2022 márciusában kezdődött azzal a céllal, hogy érzékeny információkat gyűjtsön a célpontoktól. Az infosec kutatói eddig azt állapították meg, hogy egy volt dél-koreai titkosszolgálati tisztviselő magánszámítógépéről vettek adatokat. A művelet lándzsás adathalász kísérletekkel kezdődik, ahol a hackerek a törvényes NK News entitásnak adják ki magukat.

Részletek a Goldbackdoor malware-ről

A fenyegetés kutatói által végzett elemzése feltárta, hogy a Goldbackdoor egy többlépcsős malware, amely kibővített fenyegető képességekkel rendelkezik. A kódon és viselkedésén belüli jelentős hasonlóságok és átfedések miatt a szakértők azt állítják, hogy az új fenyegetés nagy valószínűséggel az APT37 által korábban használt ártalmas eszközök közül az egyik Bluelight malware utódja.

A hackerek felosztották a fenyegetés működését egy első szerszámozási szakaszra és egy második szakaszra, ahol a végső hasznos terhet szállítják. Ez a kialakítás lehetővé teszi a támadók számára, hogy leállítsák a műveletet a megcélzott eszközök kezdeti sikeres fertőzése után. Sokkal megnehezíti a fenyegetés lehetséges retrospektív elemzését is, miután a hasznos terheket eltávolították az infrastruktúrából.

Ha engedélyezve van, a Goldbackdoor lehetővé teszi a fenyegetés szereplői számára, hogy távoli parancsokat hajtsanak végre, adatokat szűrjenek ki, fájlokat gyűjtsenek, vagy továbbiakat töltsenek le a feltört gépre, billentyűnaplózási rutinokat állítsanak be és így tovább. A hackerek arra is utasíthatják a fenyegetést, hogy távolról távolítsa el magát a feltört rendszerről. A bejövő parancsok fogadásához a hackerektől a Goldbackdoor felhőszolgáltatókat használ, és API-kulcskészlettel van felszerelve, amelyek lehetővé teszik a hitelesítést a Microsoft Azure számítási felhő platformján.