Goldbackdoor Malware

Por Mezo em Backdoors, Advanced Persistent Threat (APT)

Traduzir Para:

Um grupo APT (Advanced Persistent Threat) que se acredita ter laços com o governo norte-coreano tem como alvo jornalistas com uma nova e sofisticada ameaça de backdoor chamada malware Goldbackdoor. O grupo de hackers em particular é rastreado por organizações de segurança cibernética sob vários nomes diferentes - APT37, InkySquid, Reaper, ScarCruft e Ricochet Collima.

Acredita-se que a operação ameaçadora tenha começado em algum momento de março de 2022 com o objetivo principal de coletar informações confidenciais dos alvos. Até agora, os pesquisadores de infosec identificaram que os dados foram retirados do computador privado de um ex-oficial de inteligência sul-coreano. A operação começa com tentativas de spear phishing, onde os hackers se apresentam como a entidade legítima da NK News.

Detalhes sobre o Goldbackdoor Malware

A análise da ameaça realizada por pesquisadores, revelou que o Goldbackdoor é um malware de vários estágios com um conjunto expandido de recursos ameaçadores. Devido às semelhanças e sobreposições significativas dentro do código e seu comportamento, os especialistas afirmam que a nova ameaça é provavelmente um sucessor do malware Bluelight, um dos instrumentos nocivos usados pelo APT37 no passado.

Os hackers dividiram a operação da ameaça em um primeiro estágio de ferramentas e um segundo em que a carga útil final é entregue. Esse design permite que os invasores interrompam a operação após a infecção inicial bem-sucedida dos dispositivos visados. Também torna a análise retrospectiva potencial da ameaça, após as cargas úteis terem sido removidas da infraestrutura, muito mais difícil.

Uma vez ativado, o Goldbackdoor fornece aos agentes de ameaças a capacidade de executar comandos remotos, exfiltrar dados, coletar arquivos ou baixar arquivos adicionais para a máquina violada, estabelecer rotinas de keylogging e muito mais. Os hackers também podem instruir a ameaça a se desinstalar remotamente do sistema comprometido. Para receber os comandos recebidos dos hackers, o Goldbackdoor utiliza provedores de serviços em nuvem e vem equipado com um conjunto de chaves de API que permitem a autenticação na plataforma de computação em nuvem Azure da Microsoft.