Goldbackdoor Malware

Von Mezo in Backdoors, Advanced Persistent Threat (APT)

Übersetzen Sie in:

Eine APT-Gruppe (Advanced Persistent Threat), von der angenommen wird, dass sie Verbindungen zur nordkoreanischen Regierung hat, hat Journalisten mit einer neuen ausgeklügelten Backdoor-Bedrohung namens Goldbackdoor-Malware ins Visier genommen. Die jeweilige Hackergruppe wird von Cybersicherheitsorganisationen unter verschiedenen Namen verfolgt – APT37, InkySquid, Reaper, ScarCruft und Ricochet Collima.

Es wird angenommen, dass die Drohoperation irgendwann im März 2022 mit dem Hauptziel begonnen hat, sensible Informationen von den Zielen zu sammeln. Bisher haben Infosec-Forscher festgestellt, dass Daten vom Privatcomputer eines ehemaligen südkoreanischen Geheimdienstmitarbeiters entnommen wurden. Die Operation beginnt mit Spear-Phishing-Versuchen, bei denen sich die Hacker als legitime Entität von NK News ausgeben.

Details zur Goldbackdoor-Malware

Eine von Forschern durchgeführte Analyse der Bedrohung hat ergeben, dass es sich bei Goldbackdoor um eine mehrstufige Malware mit erweiterten Bedrohungsfunktionen handelt. Aufgrund der erheblichen Ähnlichkeiten und Überschneidungen innerhalb des Codes und seines Verhaltens geben die Experten an, dass die neue Bedrohung höchstwahrscheinlich ein Nachfolger der Bluelight -Malware ist, eines der schädlichen Instrumente, die in der Vergangenheit von APT37 verwendet wurden.

Die Hacker haben den Betrieb der Bedrohung in eine erste Werkzeugphase und eine zweite aufgeteilt, in der die endgültige Nutzlast geliefert wird. Dieses Design ermöglicht es den Angreifern, den Vorgang nach der ersten erfolgreichen Infektion der Zielgeräte zu stoppen. Es erschwert auch eine potenzielle nachträgliche Analyse der Bedrohung, nachdem die Payloads aus der Infrastruktur entfernt wurden.

Einmal aktiviert, bietet Goldbackdoor den Bedrohungsakteuren die Möglichkeit, Remote-Befehle auszuführen, Daten zu exfiltrieren, Dateien zu sammeln oder zusätzliche auf den angegriffenen Computer herunterzuladen, Keylogging-Routinen einzurichten und vieles mehr. Die Hacker können die Bedrohung auch anweisen, sich selbst remote vom kompromittierten System zu deinstallieren. Um die eingehenden Befehle von den Hackern zu empfangen, nutzt Goldbackdoor Cloud-Dienstanbieter und ist mit einer Reihe von API-Schlüsseln ausgestattet, die es ihm ermöglichen, sich bei Microsofts Cloud-Computing-Plattform Azure zu authentifizieren.