Goldbackdoor Malware

Med Mezo år Backdoors, Advanced Persistent Threat (APT)

Översätt till:

En APT-grupp (Advanced Persistent Threat) som tros ha kopplingar till den nordkoreanska regeringen har riktat in sig på journalister med ett nytt sofistikerat bakdörrshot som heter Goldbackdoor malware. Den specifika hackergruppen spåras av cybersäkerhetsorganisationer under flera olika namn - APT37, InkySquid, Reaper, ScarCruft och Ricochet Collima.

Den hotfulla operationen tros ha startat någon gång i mars 2022 med det primära målet att samla in känslig information från målen. Hittills har infosec-forskare identifierat att data har tagits från den privata datorn till en före detta sydkoreansk underrättelsetjänsteman. Operationen börjar med spjutfiskeförsök, där hackarna poserar som den legitima NK News-enheten.

Detaljer om Goldbackdoor Malware

Analyser av hotet utförda av forskare har avslöjat att Goldbackdoor är en skadlig programvara i flera steg med en utökad uppsättning hotfulla funktioner. På grund av de betydande likheterna och överlappningen inom koden och dess beteende, säger experterna att det nya hotet med största sannolikhet är en efterföljare till Bluelight malware, ett av de skadliga instrument som användes av APT37 tidigare.

Hackarna har delat upp driften av hotet i ett första verktygssteg och ett andra där den slutliga nyttolasten levereras. Denna design gör det möjligt för angriparna att stoppa operationen efter initial framgångsrik infektion av de riktade enheterna. Det gör också en potentiell retrospektiv analys av hotet efter att nyttolasten har tagits bort från infrastrukturen så mycket svårare.

När det väl har aktiverats ger Goldbackdoor hotaktörerna möjligheten att utföra fjärrkommandon, exfiltrera data, samla in filer eller ladda ner ytterligare filer till den brutna maskinen, upprätta nyckelloggningsrutiner och mer. Hackarna kan också instruera hotet att avinstallera sig själv på distans från det komprometterade systemet. För att ta emot de inkommande kommandona från hackarna använder Goldbackdoor molntjänstleverantörer och är utrustad med en uppsättning API-nycklar som gör att den kan autentisera mot Microsofts Azure cloud computing-plattform.