Malware Goldbackdoor

Până în Mezo în Backdoors, Advanced Persistent Threat (APT)

Tradu in:

Un grup APT (Advanced Persistent Threat) despre care se crede că are legături cu guvernul nord-coreean a vizat jurnaliştii cu o nouă ameninţare sofisticată, numită malware Goldbackdoor. Acest grup de hackeri este urmărit de organizațiile de securitate cibernetică sub mai multe nume diferite - APT37 , InkySquid, Reaper, ScarCruft și Ricochet Collima.

Se crede că operațiunea de amenințare a început la un moment dat în martie 2022, cu scopul principal de a colecta informații sensibile de la ținte. Până acum, cercetătorii Infosec au identificat că datele au fost preluate de pe computerul privat al unui fost oficial al serviciilor secrete din Coreea de Sud. Operațiunea începe cu încercări de spear-phishing, în care hackerii se prezintă drept entitatea legitimă NK News.

Detalii despre programul malware Goldbackdoor

Analiza amenințării efectuată de cercetători a relevat că Goldbackdoor este un malware în mai multe etape, cu un set extins de capabilități de amenințare. Datorită asemănărilor semnificative și suprapunerii în cadrul codului și al comportamentului acestuia, experții afirmă că noua amenințare este cel mai probabil un succesor al malware-ului Bluelight, unul dintre instrumentele dăunătoare folosite de APT37 în trecut.

Hackerii au împărțit operațiunea amenințării într-o primă etapă de instrumente și o a doua în care este livrată sarcina utilă finală. Acest design permite atacatorilor să oprească operațiunea după infectarea cu succes inițială a dispozitivelor vizate. De asemenea, face o analiză retrospectivă potențială a amenințării, după ce încărcăturile utile au fost îndepărtate din infrastructură mult mai greu.

Odată activat, Goldbackdoor oferă actorilor amenințărilor capacitatea de a executa comenzi de la distanță, de a exfiltra date, de a colecta fișiere sau de a descărca altele suplimentare pe mașina afectată, de a stabili rutine de înregistrare a tastelor și multe altele. De asemenea, hackerii pot instrui amenințarea să se dezinstaleze de la distanță din sistemul compromis. Pentru a primi comenzile primite de la hackeri, Goldbackdoor folosește furnizori de servicii cloud și este echipat cu un set de chei API care îi permit să se autentifice pe platforma de cloud computing Azure a Microsoft.