Goldbackdoor Malware

Med Mezo i Backdoors, Advanced Persistent Threat (APT)

Oversett til:

En APT-gruppe (Advanced Persistent Threat) som antas å ha bånd til den nordkoreanske regjeringen, har rettet mot journalister med en ny sofistikert bakdørstrussel kalt Goldbackdoor malware. Den bestemte hackergruppen spores av cybersikkerhetsorganisasjoner under flere forskjellige navn - APT37 , InkySquid, Reaper, ScarCruft og Ricochet Collima.

Den truende operasjonen antas å ha startet på et tidspunkt i mars 2022 med det primære målet å samle inn sensitiv informasjon fra målene. Så langt har infosec-forskere identifisert at data er tatt fra den private datamaskinen til en tidligere sørkoreansk etterretningstjenestemann. Operasjonen begynner med spyd-phishing-forsøk, der hackerne utgir seg for å være den legitime NK News-enheten.

Detaljer om Goldbackdoor Malware

Analyse av trusselen utført av forskere har avslørt at Goldbackdoor er en flertrinns skadelig programvare med et utvidet sett med truende egenskaper. På grunn av de betydelige likhetene og overlappingene i koden og dens oppførsel, uttaler ekspertene at den nye trusselen mest sannsynlig er en etterfølger av Bluelight malware, et av de skadelige instrumentene som ble brukt av APT37 tidligere.

Hackerne har delt driften av trusselen i et første verktøytrinn og et andre hvor den endelige nyttelasten leveres. Denne utformingen lar angriperne stoppe operasjonen etter første vellykket infeksjon av de målrettede enhetene. Det gjør også potensiell retrospektiv analyse av trusselen, etter at nyttelastene er fjernet fra infrastrukturen, så mye vanskeligere.

Når den er aktivert, gir Goldbackdoor trusselaktørene muligheten til å utføre eksterne kommandoer, eksfiltrere data, samle inn filer eller laste ned flere til den ødelagte maskinen, etablere keylogging-rutiner og mer. Hackerne kan også instruere trusselen om å avinstallere seg selv eksternt fra det kompromitterte systemet. For å motta de innkommende kommandoene fra hackerne, bruker Goldbackdoor skytjenesteleverandører og er utstyrt med et sett med API-nøkler som lar den autentisere seg mot Microsofts Azure cloud computing-plattform.