GoRed-Hintertür

Russische Organisationen wurden von einer Cybercrime-Gruppe namens ExCobalt angegriffen, die eine neu entdeckte, auf Golang basierende Hintertür namens GoRed einsetzt.

ExCobalt ist auf Cyberspionage spezialisiert und besteht aus mehreren Mitgliedern, die seit mindestens 2016 aktiv sind und wahrscheinlich aus der berüchtigten Cobalt Gang stammen. Die Cobalt Gang war dafür berüchtigt, gezielt Finanzinstitute anzugreifen, um Geld zu stehlen, und eines ihrer charakteristischen Tools war CobInt. ExCobalt hat den Einsatz von CobInt im Jahr 2022 übernommen.

Zahlreiche schädliche Tools werden bei Angriffen auf Ziele eingesetzt

Im vergangenen Jahr hat der Bedrohungsakteur verschiedene Sektoren in Russland ins Visier genommen, darunter Regierung, Informationstechnologie, Metallurgie, Bergbau, Softwareentwicklung und Telekommunikation.

Die Angreifer verschaffen sich zunächst Zugriff auf die Umgebungen, indem sie einen zuvor kompromittierten Auftragnehmer ausnutzen und einen Supply-Chain-Angriff durchführen, bei dem sie eine Komponente infizieren, die zum Erstellen der legitimen Software des Zielunternehmens verwendet wird, was auf ein hohes Maß an Raffinesse hindeutet.

Ihre Vorgehensweise umfasst die Verwendung verschiedener Tools wie Metasploit, Mimikatz , ProcDump, SMBExec und Spark RAT zum Ausführen von Befehlen auf infizierten Hosts sowie Linux-Exploits zur Rechteausweitung (CVE-2019-13272, CVE-2021-3156, CVE-2021-4034 und CVE-2022-2586).

Die GoRed-Hintertür bietet den Bedrohungsakteuren zahlreiche aufdringliche Aktionen

GoRed, das seit seiner Einführung zahlreiche Iterationen durchlaufen hat, ist eine vielseitige Hintertür, die es Betreibern ermöglicht, Befehle auszuführen, Anmeldeinformationen abzurufen und Details zu aktiven Prozessen, Netzwerkschnittstellen und Dateisystemen zu sammeln. Es verwendet das Remote Procedure Call (RPC)-Protokoll, um mit seinem Command-and-Control (C2)-Server zu kommunizieren.

Darüber hinaus unterstützt GoRed verschiedene Hintergrundbefehle zur Überwachung interessanter Dateien und Passwörter und aktiviert eine Reverse Shell. Die gesammelten Daten werden dann in eine vom Angreifer kontrollierte Infrastruktur exportiert.

ExCobalt ist weiterhin sehr aktiv und entschlossen, russische Unternehmen ins Visier zu nehmen, erweitert sein Arsenal ständig um neue Tools und verfeinert seine Techniken. Darüber hinaus beweist ExCobalt Flexibilität und Anpassungsfähigkeit, indem es modifizierte Standardprogramme in seinen Werkzeugsatz integriert, sodass die Gruppe Sicherheitskontrollen problemlos umgehen und sich an Änderungen der Schutzmethoden anpassen kann.

Infektionen mit Backdoor-Malware können schwerwiegende Folgen haben

Eine Infektion mit Backdoor-Malware kann für die Opfer schwerwiegende Folgen haben und zu Folgendem führen:

• Unbefugter Zugriff : Hintertüren ermöglichen Angreifern den unbefugten Zugriff auf das infizierte System oder Netzwerk. Dies kann zum Diebstahl persönlicher Informationen führen, darunter persönliche Daten, Finanzunterlagen, geistiges Eigentum oder vertrauliche Regierungsinformationen.
• Datendiebstahl und Spionage : Angreifer können Daten aus dem angegriffenen System extrahieren, was zu potenziellen Datenschutzverletzungen führen kann. Die gesammelten Informationen können im Dark Web verkauft, für Identitätsdiebstahl verwendet oder von konkurrierenden Organisationen zu Wettbewerbsvorteilen ausgenutzt werden.
• Ständige Überwachung : Hintertüren ermöglichen häufig eine ständige Überwachung, indem sie es Angreifern ermöglichen, Benutzeraktivitäten zu überwachen, Tastatureingaben aufzuzeichnen, Passwörter zu protokollieren und den Netzwerkverkehr zu beobachten. Diese Überwachung kann die Vertraulichkeit und Privatsphäre von Einzelpersonen und Organisationen gefährden.
• Systemmanipulation : Angreifer können das angegriffene System zu schädlichen Zwecken manipulieren, beispielsweise um weitere Angriffe zu starten (z. B. Spam zu verteilen oder DDoS-Angriffe zu starten), Daten zu ändern oder zu löschen oder kritische Dienste zu stören.
• Ruf- und Vertrauensschaden : Ein durch Backdoor-Malware verursachter Verstoß kann den Ruf eines Unternehmens schädigen und das Vertrauen der Kunden untergraben. Unternehmen können mit rechtlichen und behördlichen Konsequenzen rechnen, insbesondere wenn sie vertrauliche Daten nicht ausreichend schützen.
• Finanzielle Verluste : Sanierungsmaßnahmen, darunter forensische Untersuchungen, Systemreparaturen und mögliche Rechtskosten, können für betroffene Organisationen zu erheblichen finanziellen Verlusten führen. Darüber hinaus können Ausfallzeiten und Produktivitätsverluste den Umsatz und die Betriebseffizienz beeinträchtigen.
• Betriebsstörungen : Backdoor-Malware kann erhebliche Betriebsstörungen verursachen, von Dienstausfällen bis hin zu beeinträchtigter Netzwerkintegrität. Dies kann den täglichen Betrieb beeinträchtigen und möglicherweise zum Verlust von Geschäftsmöglichkeiten führen.
• Langfristige Gefährdungen : Wenn sie nicht erkannt oder nicht richtig behoben werden, können Hintertüren Systeme dauerhaft kompromittieren und Angreifern so dauerhaften Zugriff und Kontrolle ermöglichen. Diese langfristige Gefährdung kann die Auswirkungen verlängern und die Schwere der Folgen mit der Zeit verschärfen.

Zusammenfassend lässt sich sagen, dass eine Infektion mit Backdoor-Malware für die Opfer ernsthafte Risiken birgt, die finanzielle, betriebliche, rufschädigende und rechtliche Folgen haben können. Präventivmaßnahmen wie robuste Cybersicherheitspraktiken, regelmäßige Audits und Mitarbeiterschulungen sind entscheidend, um diese Risiken zu mindern und sich vor solchen Bedrohungen zu schützen.