Goldbackdoor Malware

Tegen Mezo in Backdoors, Advanced Persistent Threat (APT)

Vertalen naar:

Een APT-groep (Advanced Persistent Threat) waarvan wordt aangenomen dat ze banden heeft met de Noord-Koreaanse regering, heeft zich op journalisten gericht met een nieuwe geavanceerde achterdeur-dreiging, de Goldbackdoor-malware. De specifieke hackergroep wordt gevolgd door cyberbeveiligingsorganisaties onder verschillende namen - APT37, InkySquid, Reaper, ScarCruft en Ricochet Collima.

De dreigende operatie zou ergens in maart 2022 zijn begonnen met het primaire doel om gevoelige informatie van de doelen te verzamelen. Tot dusver hebben infosec-onderzoekers vastgesteld dat gegevens afkomstig zijn van de privécomputer van een voormalige Zuid-Koreaanse inlichtingenfunctionaris. De operatie begint met spear-phishing-pogingen, waarbij de hackers zich voordoen als de legitieme NK News-entiteit.

Details over de Goldbackdoor-malware

Analyse van de dreiging uitgevoerd door onderzoekers heeft aangetoond dat Goldbackdoor een meertraps malware is met een uitgebreide reeks bedreigende mogelijkheden. Vanwege de aanzienlijke overeenkomsten en overlap binnen de code en het gedrag ervan, stellen de experts dat de nieuwe dreiging hoogstwaarschijnlijk een opvolger is van de Bluelight-malware, een van de schadelijke instrumenten die in het verleden door APT37 werden gebruikt.

De hackers hebben de operatie van de dreiging opgesplitst in een eerste tooling-fase en een tweede waarin de uiteindelijke payload wordt afgeleverd. Dit ontwerp stelt de aanvallers in staat de operatie te stoppen na een aanvankelijke succesvolle infectie van de beoogde apparaten. Het maakt ook een potentiële retrospectieve analyse van de dreiging, nadat de payloads uit de infrastructuur zijn verwijderd, veel moeilijker.

Eenmaal ingeschakeld, biedt Goldbackdoor de dreigingactoren de mogelijkheid om externe commando's uit te voeren, gegevens te exfiltreren, bestanden te verzamelen of extra bestanden naar de gehackte machine te downloaden, keylogging-routines op te zetten en meer. De hackers kunnen de dreiging ook opdracht geven om zichzelf op afstand van het besmette systeem te verwijderen. Om de binnenkomende opdrachten van de hackers te ontvangen, maakt Goldbackdoor gebruik van cloudserviceproviders en is het uitgerust met een set API-sleutels waarmee het kan worden geverifieerd tegen het Azure-cloudcomputingplatform van Microsoft.