ExCobalt Cyber Gang nhắm mục tiêu vào Nga bằng cửa hậu GoRed


 Các tổ chức của Nga đã bị nhắm mục tiêu bởi một băng đảng tội phạm mạng có tên ExCobalt sử dụng một cửa hậu dựa trên Golang chưa từng được biết đến trước đây được gọi là GoRed.

"ExCobalt tập trung vào gián điệp mạng và bao gồm một số thành viên hoạt động ít nhất từ năm 2016 và có lẽ từng là một phần của băng đảng Cobalt khét tiếng", các nhà nghiên cứu Vladislav Lunin và Alexander Badayev của Positive Technologies cho biết trong một báo cáo kỹ thuật được công bố trong tuần này.

"Cobalt tấn công các tổ chức tài chính để ăn cắp tiền. Một trong những điểm nổi bật của Cobalt là việc sử dụng công cụ CobInt, thứ mà ExCobalt bắt đầu sử dụng vào năm 2022".

Các cuộc tấn công do tác nhân đe dọa gây ra đã chỉ ra nhiều lĩnh vực khác nhau ở Nga trong năm qua, bao gồm chính phủ, công nghệ thông tin, luyện kim, khai thác mỏ, phát triển phần mềm và viễn thông.

Quyền truy cập ban đầu vào các môi trường được tạo điều kiện bằng cách tận dụng lợi thế của một nhà thầu bị xâm nhập trước đó và một cuộc tấn công chuỗi cung ứng, trong đó kẻ thù đã lây nhiễm một thành phần được sử dụng để xây dựng phần mềm hợp pháp của công ty mục tiêu, cho thấy mức độ tinh vi cao.

Phương thức hoạt động đòi hỏi phải sử dụng các công cụ khác nhau như Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT để thực thi các lệnh trên các máy chủ bị nhiễm và khai thác leo thang đặc quyền Linux (CVE-2019-13272CVE-2021-3156CVE-2021-4034 và CVE-2022-2586).

GoRed, đã trải qua nhiều lần lặp lại kể từ khi thành lập, là một cửa hậu toàn diện cho phép các nhà khai thác thực hiện các lệnh, lấy thông tin đăng nhập và thu thập chi tiết về các quy trình đang hoạt động, giao diện mạng và hệ thống tệp. Nó sử dụng giao thức Remote Procedure Call (RPC) để giao tiếp với máy chủ command-and-control (C2) của nó.

Hơn nữa, nó hỗ trợ một số lệnh nền để xem các tệp quan tâm và mật khẩu cũng như bật reverse shell. Dữ liệu thu thập được sau đó được xuất sang cơ sở hạ tầng do kẻ tấn công kiểm soát.

"ExCobalt tiếp tục thể hiện mức độ hoạt động và quyết tâm cao trong việc tấn công các công ty Nga, liên tục bổ sung các công cụ mới vào kho vũ khí và cải thiện kỹ thuật của mình", các nhà nghiên cứu cho biết.

Mới hơn Cũ hơn