22 Haziran 2024Haber odasıSiber Casusluk / Tehdit İstihbaratı
Rus kuruluşları, GoRed olarak bilinen, daha önce bilinmeyen Golang tabanlı bir arka kapıyı kullanan ExCobalt adlı bir siber suç çetesi tarafından hedef alındı.
“ExCobalt siber casusluğa odaklanıyor ve en az 2016’dan bu yana aktif olan ve muhtemelen bir zamanlar kötü şöhretli grubun bir parçası olan birkaç üyeyi içeriyor. Kobalt Çetesi,” Pozitif Teknolojiler araştırmacıları Vladislav Lunin ve Alexander Badayev söz konusu Bu hafta yayınlanan teknik bir raporda.
“Kobalt Finans kuruluşlarına saldırdı fon çalmak için. Cobalt’ın ayırt edici özelliklerinden biri de CobInt aracıExCobalt’ın 2022’de kullanmaya başladığı bir şey.”
Tehdit aktörünün gerçekleştirdiği saldırılar geçtiğimiz yıl Rusya’da hükümet, bilgi teknolojisi, metalurji, madencilik, yazılım geliştirme ve telekomünikasyon dahil olmak üzere çeşitli sektörleri hedef aldı.
Ortamlara ilk erişim şu şekilde kolaylaştırılır: faydalanmak daha önceden güvenliği ihlal edilmiş yüklenici ve bir tedarik zinciri saldırısı; burada saldırgan, hedef şirketin meşru yazılımını oluşturmak için kullanılan bir bileşene virüs bulaştırıyor ve bu da yüksek derecede karmaşıklık olduğunu gösteriyor.
İşleyiş tarzı, virüslü ana bilgisayarlarda komutları yürütmek için Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT gibi çeşitli araçların ve Linux ayrıcalık yükseltme açıklarının kullanılmasını gerektirir (CVE-2019-13272CVE-2021-3156, CVE-2021-4034 ve CVE-2022-2586).
Başlangıcından bu yana çok sayıda yinelemeden geçen GoRed, operatörlerin komutları yürütmesine, kimlik bilgileri almasına ve aktif süreçlerin, ağ arayüzlerinin ve dosya sistemlerinin ayrıntılarını toplamasına olanak tanıyan kapsamlı bir arka kapıdır. Komuta ve kontrol (C2) sunucusuyla iletişim kurmak için Uzaktan Prosedür Çağrısı (RPC) protokolünü kullanır.
Dahası, ilgilenilen dosyaları ve şifreleri izlemek ve ters kabuğu etkinleştirmek için bir dizi arka plan komutunu destekler. Toplanan veriler daha sonra saldırganın kontrol ettiği altyapıya aktarılıyor.
Araştırmacılar, “ExCobalt, Rus şirketlerine saldırmada yüksek düzeyde etkinlik ve kararlılık sergilemeye devam ediyor, cephaneliğine sürekli yeni araçlar ekliyor ve tekniklerini geliştiriyor” dedi.
“Ayrıca ExCobalt, araç setini, grubun güvenlik kontrollerini kolayca atlamasına ve koruma yöntemlerindeki değişikliklere uyum sağlamasına yardımcı olan değiştirilmiş standart yardımcı programlarla tamamlayarak esneklik ve çok yönlülük sergiliyor.”
siber-2