Perisian Hasad Goldbackdoor

Menjelang Mezo pada Backdoors, Advanced Persistent Threat (APT)

Terjemahkan ke

Kumpulan APT (Advanced Persistent Threat) yang dipercayai mempunyai hubungan dengan kerajaan Korea Utara telah menyasarkan wartawan dengan ancaman pintu belakang canggih baharu bernama perisian hasad Goldbackdoor. Kumpulan penggodam tertentu dijejaki oleh organisasi keselamatan siber di bawah beberapa nama berbeza - APT37 , InkySquid, Reaper, ScarCruft dan Ricochet Collima.

Operasi mengancam itu dipercayai telah bermula pada satu ketika pada Mac 2022 dengan matlamat utama untuk mengumpul maklumat sensitif daripada sasaran. Setakat ini, penyelidik infosec telah mengenal pasti bahawa data telah diambil daripada komputer peribadi bekas pegawai perisikan Korea Selatan. Operasi bermula dengan percubaan pancingan lembing, di mana penggodam menyamar sebagai entiti NK News yang sah.

Butiran tentang Malware Goldbackdoor

Analisis ancaman yang dijalankan oleh penyelidik telah mendedahkan bahawa Goldbackdoor ialah perisian hasad berbilang peringkat dengan set keupayaan mengancam yang diperluaskan. Disebabkan persamaan yang ketara dan pertindihan dalam kod dan tingkah lakunya, pakar menyatakan bahawa ancaman baharu itu berkemungkinan besar adalah pengganti perisian hasad Bluelight, salah satu instrumen berbahaya yang digunakan oleh APT37 pada masa lalu.

Penggodam telah membahagikan operasi ancaman kepada peringkat perkakas pertama dan peringkat kedua di mana muatan terakhir dihantar. Reka bentuk ini membolehkan penyerang menghentikan operasi selepas jangkitan awal berjaya pada peranti yang disasarkan. Ia juga menjadikan analisis retrospektif berpotensi ancaman, selepas muatan telah dialih keluar daripada infrastruktur menjadi lebih sukar.

Setelah didayakan, Goldbackdoor menyediakan aktor ancaman dengan keupayaan untuk melaksanakan perintah jauh, mengeluarkan data, mengumpul fail atau memuat turun fail tambahan ke mesin yang dilanggar, mewujudkan rutin pengelogan kunci dan banyak lagi. Penggodam juga boleh mengarahkan ancaman untuk menyahpasang dirinya dari jauh dari sistem yang terjejas. Untuk menerima arahan masuk daripada penggodam, Goldbackdoor menggunakan penyedia perkhidmatan awan dan dilengkapi dengan satu set kunci API yang membolehkannya untuk mengesahkan terhadap platform pengkomputeran awan Azure Microsoft.