Зловмисне програмне забезпечення Goldbackdoor

До Mezo року в Backdoors, Advanced Persistent Threat (APT) році

Перекласти на:

Група APT (Advanced Persistent Threat), яка, як вважають, має зв’язки з урядом Північної Кореї, націлена на журналістів за допомогою нової складної загрози, яка називається зловмисним програмним забезпеченням Goldbackdoor. Конкретну групу хакерів відстежують організації з кібербезпеки під кількома різними назвами - APT37 , InkySquid, Reaper, ScarCruft і Ricochet Collima.

Вважається, що загрозлива операція розпочалася в якийсь момент у березні 2022 року з основною метою збору конфіденційної інформації від цілей. Наразі дослідники Infosec виявили, що дані були взяті з приватного комп’ютера колишнього співробітника південнокорейської розвідки. Операція починається зі спроб фішингу, коли хакери видають себе за законну організацію NK News.

Детальна інформація про зловмисне програмне забезпечення Goldbackdoor

Аналіз загроз, проведений дослідниками, показав, що Goldbackdoor – це багатоступеневе зловмисне програмне забезпечення з розширеним набором загрозливих можливостей. Через значну схожість і збіг коду та його поведінки, експерти заявляють, що нова загроза, швидше за все, є наступником шкідливого програмного забезпечення Bluelight, одного зі шкідливих інструментів, які використовував APT37 в минулому.

Хакери розділили роботу загрози на перший етап інструментів і другий, на який доставляють остаточне корисне навантаження. Така конструкція дозволяє зловмисникам зупинити операцію після початкового успішного зараження цільових пристроїв. Це також значно ускладнює потенційний ретроспективний аналіз загрози після того, як корисні навантаження були видалені з інфраструктури.

Після ввімкнення Goldbackdoor надає суб’єктам загрози можливість виконувати віддалені команди, вилучати дані, збирати файли або завантажувати додаткові файли на зламану машину, встановлювати процедури клавіатури тощо. Хакери також можуть наказати загрозі видалити себе віддалено зі зламаної системи. Щоб отримувати вхідні команди від хакерів, Goldbackdoor використовує постачальників хмарних послуг і оснащений набором ключів API, які дозволяють йому аутентифікуватися на платформі хмарних обчислень Microsoft Azure.