Goldbackdoor มัลแวร์

โดย Mezo ใน Backdoors, Advanced Persistent Threat (APT)

แปลเป็น:

กลุ่ม APT (Advanced Persistent Threat) ที่เชื่อว่ามีความเกี่ยวข้องกับรัฐบาลเกาหลีเหนือ ได้กำหนดเป้าหมายนักข่าวด้วยภัยคุกคามลับๆ ที่ซับซ้อนรูปแบบใหม่ที่ชื่อว่ามัลแวร์ Goldbackdoor กลุ่มแฮ็กเกอร์เฉพาะนั้นถูกติดตามโดยองค์กรความปลอดภัยทางไซเบอร์ภายใต้ชื่อต่างๆ - APT37 , InkySquid, Reaper, ScarCruft และ Ricochet Collima

เชื่อกันว่าปฏิบัติการคุกคามดังกล่าวได้เริ่มต้นขึ้นเมื่อเดือนมีนาคม พ.ศ. 2565 โดยมีเป้าหมายหลักในการรวบรวมข้อมูลที่ละเอียดอ่อนจากเป้าหมาย จนถึงตอนนี้ นักวิจัยของอินโฟเซคระบุว่าข้อมูลถูกนำมาจากคอมพิวเตอร์ส่วนตัวของอดีตเจ้าหน้าที่ข่าวกรองเกาหลีใต้ การดำเนินการเริ่มต้นด้วยความพยายามในการฟิชชิ่งแบบหอก โดยที่แฮกเกอร์วางตัวเป็นเอนทิตี NK News ที่ถูกต้องตามกฎหมาย

รายละเอียดเกี่ยวกับมัลแวร์ Goldbackdoor

การวิเคราะห์ภัยคุกคามที่ดำเนินการโดยนักวิจัยได้เปิดเผยว่า Goldbackdoor เป็นมัลแวร์แบบหลายขั้นตอนพร้อมชุดความสามารถในการคุกคามที่ขยายออกไป เนื่องจากความคล้ายคลึงกันอย่างมีนัยสำคัญและความทับซ้อนกันภายในโค้ดและพฤติกรรมของโค้ด ผู้เชี่ยวชาญระบุว่าภัยคุกคามใหม่นี้น่าจะเป็นตัวตายตัวแทนของมัลแวร์ Bluelight ซึ่งเป็นหนึ่งในเครื่องมือที่เป็นอันตรายที่ APT37 ใช้ในอดีต

แฮกเกอร์ได้แยกการทำงานของภัยคุกคามออกเป็นขั้นตอนแรกและขั้นตอนที่สองที่มีการส่งมอบเพย์โหลดสุดท้าย การออกแบบนี้ทำให้ผู้โจมตีสามารถหยุดการทำงานหลังจากติดไวรัสอุปกรณ์เป้าหมายสำเร็จในครั้งแรก นอกจากนี้ยังทำให้สามารถวิเคราะห์ภัยคุกคามย้อนหลังได้ หลังจากที่เพย์โหลดถูกลบออกจากโครงสร้างพื้นฐานที่ยากกว่ามาก

เมื่อเปิดใช้งาน Goldbackdoor จะทำให้ผู้โจมตีสามารถดำเนินการคำสั่งระยะไกล แยกข้อมูล รวบรวมไฟล์หรือดาวน์โหลดไฟล์เพิ่มเติมไปยังเครื่องที่ถูกละเมิด สร้างรูทีนการล็อกคีย์และอื่น ๆ แฮกเกอร์ยังสามารถสั่งภัยคุกคามให้ถอนการติดตั้งตัวเองจากระยะไกลจากระบบที่ถูกบุกรุก ในการรับคำสั่งที่เข้ามาจากแฮกเกอร์ Goldbackdoor ใช้ผู้ให้บริการระบบคลาวด์และมาพร้อมกับชุดคีย์ API ที่อนุญาตให้ตรวจสอบกับแพลตฟอร์ม Azure cloud computing ของ Microsoft