Злоумышленники из ExCobalt атакуют российские компании с помощью нового бэкдора GoRed

Российские организации стали объектом нападения киберпреступников под названием ExCobalt. Они используют ранее неизвестный бэкдор на базе Golang, известный как GoRed.
Злоумышленники из ExCobalt атакуют российские компании с помощью нового бэкдора GoRed

Злоумышленники из ExCobalt атакуют российские компании с помощью нового бэкдора GoRed. Фото: СС0

Из сооющения исследователей Positive Technologies Владислава Лунина и Александра Бадаева:

«ExCobalt специализируется на кибершпионаже и включает в себя несколько членов, действующих как минимум с 2016 года и предположительно когда-то входивших в пресловутую банду Cobalt. Cobalt атаковал финансовые учреждения с целью кражи средств. Одной из отличительных черт Cobalt было использование инструмента CobInt , который ExCobalt начал использовать в 2022 году.»

За последний год атаки, предпринятые злоумышленником, были направлены на различные секторы России, включая госструктуры, информационные технологии, металлургию, горнодобывающую промышленность, разработку программного обеспечения и телекоммуникации.

Первоначальный доступ к средам облегчается за счет использования ранее скомпрометированного подрядчика и атаки на цепочку поставок, в ходе которой злоумышленник заразил компонент, используемый для создания легального программного обеспечения целевой компании, что предполагает высокую степень сложности.

Метод работы предполагает использование различных инструментов, таких как Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT для выполнения команд на зараженных хостах, а также эксплойтов повышения привилегий Linux ( CVE-2019-13272 , CVE-2021-3156 , CVE-2021- 4034 и CVE-2022-2586 ).

GoRed, претерпевший многочисленные изменения с момента своего создания, представляет собой комплексный бэкдор, который позволяет операторам выполнять команды, получать учетные данные и собирать подробную информацию об активных процессах, сетевых интерфейсах и файловых системах. Он использует протокол удаленного вызова процедур (RPC) для связи со своим сервером управления и контроля (C2).

Более того, он поддерживает ряд фоновых команд для поиска интересующих файлов и паролей, а также включения обратной оболочки. Собранные данные затем экспортируются в инфраструктуру, контролируемую злоумышленником.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Больше интересного

Актуальное

В ходе теста Тьюринга респонденты не смогли отличить искусственный интеллект от человека
Разработчики улучшили синхронизацию между Календарем Google и сторонними календарями
Комментарии и действия в зашифрованных на стороне клиента документах Google теперь общедоступны
Ещё…