Goldbackdoor Malware

Entro Mezo nel Backdoors, Advanced Persistent Threat (APT)

Traduci in:

Un gruppo APT (Advanced Persistent Threat) che si ritiene abbia legami con il governo nordcoreano ha preso di mira i giornalisti con una nuova sofisticata minaccia backdoor denominata malware Goldbackdoor. Il particolare gruppo di hacker è monitorato da organizzazioni di sicurezza informatica con diversi nomi: APT37, InkySquid, Reaper, ScarCruft e Ricochet Collima.

Si ritiene che l'operazione minacciosa sia iniziata a un certo punto nel marzo 2022 con l'obiettivo principale di raccogliere informazioni sensibili dagli obiettivi. Finora, i ricercatori di Infosec hanno identificato che i dati sono stati prelevati dal computer privato di un ex funzionario dell'intelligence sudcoreana. L'operazione inizia con tentativi di spear-phishing, in cui gli hacker si atteggiano a entità legittima di NK News.

Dettagli sul malware Goldbackdoor

L'analisi della minaccia effettuata dai ricercatori ha rivelato che Goldbackdoor è un malware a più stadi con una serie ampliata di capacità minacciose. A causa delle somiglianze e delle sovrapposizioni significative all'interno del codice e del suo comportamento, gli esperti affermano che la nuova minaccia è molto probabilmente un successore del malware Bluelight, uno degli strumenti dannosi utilizzati da APT37 in passato.

Gli hacker hanno suddiviso il funzionamento della minaccia in una prima fase degli strumenti e una seconda in cui viene consegnato il carico utile finale. Questo design consente agli aggressori di interrompere l'operazione dopo l'infezione iniziale riuscita dei dispositivi presi di mira. Inoltre, rende molto più difficile la potenziale analisi retrospettiva della minaccia, dopo che i carichi utili sono stati rimossi dall'infrastruttura.

Una volta abilitato, Goldbackdoor offre agli attori delle minacce la possibilità di eseguire comandi remoti, esfiltrare dati, raccogliere file o scaricarne altri sulla macchina violata, stabilire routine di keylogging e altro ancora. Gli hacker possono anche indicare alla minaccia di disinstallarsi in remoto dal sistema compromesso. Per ricevere i comandi in arrivo dagli hacker, Goldbackdoor utilizza provider di servizi cloud ed è dotato di un set di chiavi API che gli consentono di autenticarsi sulla piattaforma di cloud computing Azure di Microsoft.