„Goldbackdoor“ kenkėjiška programa

Autorius Mezo, Backdoors, Advanced Persistent Threat (APT)

Versti į:

Manoma, kad APT (Advanced Persistent Threat) grupė, turinti ryšių su Šiaurės Korėjos vyriausybe, nusitaikė į žurnalistus su nauja sudėtinga „backdoor“ grėsme, pavadinta „Goldbackdoor“ kenkėjiška programa. Konkrečią įsilaužėlių grupę seka kibernetinio saugumo organizacijos keliais skirtingais pavadinimais – APT37 , InkySquid, Reaper, ScarCruft ir Ricochet Collima.

Manoma, kad grėsminga operacija prasidėjo 2022 m. kovo mėn., kurios pagrindinis tikslas buvo surinkti slaptą informaciją iš taikinių. Kol kas infosec tyrėjai nustatė, kad duomenys buvo paimti iš privataus buvusio Pietų Korėjos žvalgybos pareigūno kompiuterio. Operacija prasideda nuo sukčiavimo su ietis, kai įsilaužėliai prisistato teisėtu NK News subjektu.

Išsami informacija apie Goldbackdoor kenkėjišką programą

Tyrėjų atlikta grėsmės analizė atskleidė, kad Goldbackdoor yra kelių pakopų kenkėjiška programa, turinti išplėstą grėsmę keliančių galimybių rinkinį. Dėl didelių kodo ir jo elgesio panašumų ir sutapimų ekspertai teigia, kad nauja grėsmė greičiausiai yra „Bluelight“ kenkėjiškos programos, vienos iš APT37 anksčiau naudotų žalingų priemonių, įpėdinis.

Įsilaužėliai suskirstė grėsmės veikimą į pirmąjį įrankių paruošimo etapą ir antrąjį, kai pristatomas galutinis krovinys. Ši konstrukcija leidžia užpuolikams sustabdyti operaciją po pirminio sėkmingo tikslinių įrenginių užkrėtimo. Tai taip pat apsunkina galimą retrospektyvinę grėsmės analizę, kai naudingieji kroviniai buvo pašalinti iš infrastruktūros.

Įjungus, „Goldbackdoor“ grėsmės veikėjams suteikia galimybę vykdyti nuotolines komandas, išfiltruoti duomenis, rinkti failus arba atsisiųsti papildomų į pažeistą mašiną, nustatyti klaviatūros registravimo procedūras ir dar daugiau. Įsilaužėliai taip pat gali nurodyti grėsmei pašalinti save nuotoliniu būdu iš pažeistos sistemos. Kad gautų gaunamas komandas iš įsilaužėlių, „Goldbackdoor“ naudoja debesų paslaugų teikėjus ir yra aprūpintas API raktų rinkiniu, leidžiančiu autentifikuoti „Microsoft“ Azure debesų kompiuterijos platformą.